Бесплатно Экспресс-аудит сайта:

01.03.2023

Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт

Согласно новому отчёту Patchstack, хакеры активно используют 2 критические уязвимости в плагине Houzez для WordPress, используемых в основном на сайтах недвижимости.

Houzez — это плагин тарифа премиум, предлагающий простое управление объявлениями и удобное обслуживание клиентов. На сайте производителя утверждается, что он обслуживает более 35 000 клиентов в сфере недвижимости.

Ошибки были обнаружены исследователем угроз Patchstack Дейвом Джонгом, он также сообщил о них разработчику темы – ThemeForest. Одна из них была устранена в версии 2.6.4 в августе 2022 года, а другая - в версии 2.7.2 в ноябре 2022 года.

Отчёт Patchstack предупреждает, что некоторые веб-сайты не применили обновление безопасности, и субъекты угроз активно используют эти недостатки в продолжающихся атаках. И на данный момент большое количество атак исходит с IP-адреса 103.167.93.138.

  1. CVE-2023-26540 (CVSS: 9.8) связана с неправильной конфигурацией безопасности и может быть использована удаленно неавторизованным хакером для повышения привилегий. Проблема затрагивает плагин Houzez версии 2.7.1 и выше. Исправление доступно в версии Houzez 2.7.2 или выше.
  2. CVE-2023-26009 (CVSS: 9.8) позволяет злоумышленнику, не прошедшему проверку подлинности, повысить привилегии. Затрагивает плагин Houzes Login Register версии 2.6.3 и выше. Исправление доступно в версии Houzez Login Register 2.6.4 или выше.

По словам Джонга, хакеры используют эти уязвимости, отправляя запрос на конечную точку, которая прослушивает запросы на создание учетной записи. Из-за ошибки в проверке валидности на стороне сервера запрос может быть составлен таким образом, чтобы создать на сайте пользователя-администратора, что позволяет злоумышленнику получить полный контроль над сайтом WordPress.

В атаках, замеченных Patchstack, злоумышленники загружали бэкдор, способный выполнять команды, размещать рекламу на сайте или перенаправлять трафик на другие вредоносные сайты. После этого киберпреступники могут делать с сайтом все, что захотят, но обычно они загружают вредоносный плагин, содержащий бэкдор.