В плагине Orbit Fox от компании Themesale обнаружены серьезные уязвимости, при эксплуатации которых киберпреступники могут захватывать учетные записи администраторов сайтов на WordPress.
Специалисты по информационной безопасности из команды Wordfence нашли в плагине Orbit Fox для WordPress две серьезные уязвимости. Одна из ошибок является критической (имеет рейтинг 9,9 по CVSS). Эта уязвимость позволяет хакерам быстро и без особого труда заполучить максимальные привилегии для взломанной учетной записи на целевом сайте WordPress.
Уязвимость была выявлена в виджете регистрации. С ее помощью практически любой пользователь, который проходит регистрацию, может самостоятельно поменять свои привилегии. «Обычные пользователи, авторы, редакторы сайта WordPress могли создать запрос с соответствующим параметром. Плагин Orbit Fox обеспечивает защиту на стороне клиента для предотвращения отображения селектора ролей пользователей в форме регистрации. Но на стороне сервера не было никакой защиты и проверки, чтобы убедиться в том, что авторизованный пользователь действительно установить роль обычного пользователя по умолчанию в запросе», – отмечают в Wordfence.
Отсутствие проверки на стороне сервера позволяет киберпреступникам создавать учетные записи с правами администратора на любом сайте WordPress, который имеет установленные уязвимые версии плагина Orbit Fox. Но в Wordfence заявляют, что эксплуатация уязвимости возможна только в том случае, если на сайте WordPress включена регистрация пользователей и имеются запущенные плагины Elementor или Beaver Builder.
Вторая выявленная уязвимость имеет рейтинг 4,6 по CVSS. Эксплуатация этой ошибки позволяет хакерами внедрять вредоносные скрипты в сообщения, которые рассылаются внутри сайта WordPress между пользователями.
Обе уязвимости актуальны для плагина Orbit Fox всех версий до 2.10.2. Команда Wordfence уже сообщила разработчикам о выявлении уязвимостей. Обе проблемы были исправлены выпуском обновления плагина Orbit Fox 2.10.3. Администраторам сайтов WordPress, которые пользуются плагином Orbit Fox, рекомендуется обновить его для обеспечения защиты от действий злоумышленников.