Уязвимость в WordPress угрожает 90 000 веб-сайтов

Серьезная уязвимость в плагине Jupiter X Core для WordPress подвергает риску более 90 000 веб-сайтов атакам типа Local File Inclusion (LFI) и Remote Code Execution (RCE). Уязвимость, зарегистрированная как CVE-2025-0366 с оценкой CVSS 8.8 (Высокий уровень опасности), позволяет авторизованным пользователям с правами контрибьютора загружать вредоносные SVG-файлы и выполнять произвольный код на уязвимых серверах.

Jupiter X Core — это дополнительный плагин, необходимый для работы премиальной темы Jupiter X. Уязвимость заключается в двух связанных слабостях:

1. Неограниченная загрузка SVG-файлов:
   Функция upload_files() (часть класса Ajax_Handler) позволяла контрибьюторам загружать SVG-файлы без должной проверки их содержимого. Хотя имена файлов рандомизировались с помощью функции PHP uniqid(), зависимость от микросекунд сервера позволяла злоумышленникам предсказать имена файлов, если было известно время загрузки. Это позволяло загружать вредоносные SVG-файлы, содержащие встроенный PHP-код.
2. Local File Inclusion (LFI) через метод get_svg():
   Метод get_svg() в классе Utils неправильно обрабатывал пользовательский ввод, что позволяло злоумышленникам манипулировать параметром $file_name для получения доступа к произвольным файлам на сервере. Загрузив вредоносный SVG-файл и принудительно включив его через специально crafted-запросы, злоумышленники могли добиться выполнения произвольного кода (RCE).

Уязвимость была обнаружена исследователем stealth copter через программу Bug Bounty компании Wordfence, за что он получил вознаграждение в размере $782.

Серьезность уязвимости:

• Повышение привилегий: Контрибьюторы, обычно имеющие низкий уровень доступа, могли получить полный контроль над сервером.
• Утечка данных: Злоумышленники могли получить доступ к чувствительным файлам, таким как wp-config.php, или учетным данным базы данных.
• Долгосрочный доступ: Создание бэкдоров через веб-шеллы позволяло злоумышленникам сохранять доступ к серверу на длительное время.

Меры по устранению и исправление:
Разработчик плагина Artbees выпустил исправленную версию 4.8.8 29 января 2025 года, в которой были устранены следующие проблемы:

• Строгая проверка файлов: Ограничение загрузки SVG-файлов только доверенными пользователями и очистка их содержимого.
• Очистка путей: Внедрение проверки realpath в методе get_svg() для предотвращения обхода директорий.

Рекомендации для пользователей:

1. Обновите плагин: Установите версию Jupiter X Core 4.8.8 или выше.
2. Проверка ролей пользователей: Уменьшите количество учетных записей контрибьюторов и предоставляйте доступ только необходимым пользователям.
3. Использование WAF: Настройте веб-приложение файервол (WAF) с правилами для блокировки LFI и RCE-атак.
4. Проверка тем и плагинов: Проверьте пользовательские темы и плагины на наличие аналогичных уязвимостей, особенно в SVG/XML-парсерах.
5. Автоматизированное сканирование: Регулярно используйте инструменты для автоматического сканирования WordPress-сайтов на наличие уязвимостей.
6. Подписка на обновления безопасности: Подключитесь к источникам информации, таким как Wordfence Intelligence, для получения оперативных уведомлений об угрозах.

Заключение:
WordPress управляет 43% веб-сайтов в интернете, что делает обеспечение его безопасности критически важным. Администраторам следует своевременно применять меры безопасности, чтобы защитить свои сайты от атак. Следуя приведенным выше рекомендациям, вы сможете обеспечить высокий уровень безопасности вашего WordPress-сайта.