На ряде сайтов под управлением движка WordPress нашли критические уязвимости межсайтового скриптинга (XSS), позволяющие злоумышленникам внедрить JavaScript-код в веб-страницы и создать аккаунты уровня администратора. Проблема кроется в плагине Frontend File Manager — именно в нём содержатся баги.
В общей сложности эксперты сообщили о шести уязвимостях, затрагивающих версии плагина 17.1 и 18.2. По оценкам исследователей, дырявый Frontend File Manager установлен более чем на 2000 веб-ресурсов.
Если администраторы не установят вышедшие патчи, их сайты могут стать объектом целого ряда кибератак, в ходе которых злоумышленники смогут выполнить вредоносный код удалённо. В случае успешной эксплуатации преступники будут в состоянии удалять или править посты, проводить XSS-атаки и повышать свои права.
Причём в случае межсайтового скриптинга злоумышленникам не обязательно проходить аутентификацию для внедрения произвольного контента, отметили специалисты Ninja Technologies Network.
Оказалось, что корень проблемы кроется в функции «wpfm_edit_file_title_desc», которая задействуется при редактировании поста на WordPress-сайте. Сама функция не могла установить авторство того, кто правит пост. В результате не прошедший аутентификацию пользователь мог свободно менять контент и заголовки на любых страницах.
Всем администраторам, использующим Frontend File Manager, рекомендуется установить версию плагина под номером 18.3, которая вышла 26 июня.
