Критическое влияние уязвимостей нулевого дня премиум-плагинов WordPress для недвижимости
Тема RealHome и плагины Easy Real Estate для WordPress уязвимы к двум критически важным уязвимостям, которые позволяют неавторизованным пользователям получать административные привилегии.
Хотя обе уязвимости были обнаружены компанией Patchstack в сентябре 2024 года и были предприняты многочисленные попытки связаться с поставщиком (InspiryThemes), исследователи утверждают, что не получили ответа.
Также Patchstack говорит, что производитель выпустил три версии с сентября, но не представил никаких исправлений безопасности для устранения критических проблем. Следовательно, проблемы остаются неисправленными и эксплуатируемыми.
Подробности уязвимости
Тема RealHome и Easy Real Estate являются одними из самых популярных тем и плагинов, разработанных для использования на сайтах недвижимости. Согласно данным Envanto Market, тема RealHome используется на 32 600 сайтах.
Первая уязвимость, которая затрагивает тему RealHome, — это проблема неавторизованного повышения привилегий, обозначенная как CVE-2024-32444 (оценка CVSS: 9,8).
Тема позволяет пользователям регистрировать новые учетные записи с помощью функции inspiry_ajax_register, однако она не проверяет авторизацию должным образом и не реализует проверку одноразовых значений.
Если на сайте включена регистрация, злоумышленники могут произвольно указать свою роль «Администратор» в специально созданном HTTP-запросе к функции регистрации, по сути обходя проверки безопасности.
После регистрации в качестве администратора злоумышленник может впоследствии получить полный контроль над сайтом WordPress, включая выполнение манипуляций с контентом, установку скриптов и доступ к пользовательским или другим конфиденциальным данным.
Уязвимость, влияющая на плагин Easy Real Estate, — это еще одна проблема неаутентифицированного повышения привилегий через социальный вход. Она отслеживается как CVE-2024-32555 (оценка CVSS: 9,8).
Проблема связана с функцией входа через социальную сеть, которая позволяет пользователям входить в систему, используя свой адрес электронной почты, не проверяя, принадлежит ли он лицу, подавшему запрос.
В результате, если злоумышленник знает адрес электронной почты администратора, он может войти в систему без пароля. Последствия успешной эксплуатации аналогичны последствиям CVE-2024-32444.
Рекомендации по смягчению последствий
Поскольку компания InspiryThemes пока не выпустила патч, владельцам и администраторам веб-сайтов, использующим указанную тему или плагин, следует немедленно отключить их.
Ограничение регистрации пользователей на затронутых веб-сайтах также предотвратит несанкционированное создание учетных записей, ограничив потенциальную возможность эксплуатации.
Поскольку проблемы с двумя дополнениями теперь стали достоянием общественности, злоумышленники, несомненно, изучат их потенциал и просканируют уязвимые веб-сайты, поэтому на данном этапе крайне важно быстро отреагировать для минимизации угрозы.