В нескольких плагинах WordPress исправлены уязвимости нулевого дня

В нескольких плагинах для WordPress исправлены уязвимости, позволявшие получать контроль над сайтами и уже активно эксплуатировавшиеся в рамках одной и той же вредоносной кампании.

В частности, была исправлена уязвимость в популярном плагине Flexible Checkout Fields For WooCommerce, установленном более чем на 20 тыс. сайтов. С ее помощью неавторизованный злоумышленник мог осуществить межсайтовый скриптинг путем изменения настроек плагина. По системе оценивания опасности CVSS уязвимость получила 9,3 балла из максимальных 10. Проблема затрагивает версию плагина 2.3.1 и более ранние и была исправлена в версии 2.3.2.

Изучая атаки с использованием вышеупомянутой уязвимости, специалисты компании Defiant обнаружили еще одну такую же в плагине 10Web Map Builder для Карт Google, установленном на 20 тыс. сайтов. Как пояснили исследователи, если атакующий внедрит вредоносный JavaScript-код в определенные значения параметров, код будет выполняться для администраторов на их панели управления, а также для посетителей сайта в некоторых случаях. Проблема исправлена в версии плагина 1.0.64.

Ряд эксплуатируемых в атаках XSS-уязвимостей затрагивают плагин Modern Events Calendar Lite, установленный на 40 тыс. сайтов. Уязвимости объединены под общим идентификатором CVE-2020-9459 и исправлены в версии плагина 5.1.7.

В киберпреступной кампании также эксплуатируется XSS-уязвимость в плагине Async JavaScript, установленном на 100 тыс. сайтов. По системе оценивания опасности CVSS уязвимость получила 7,6 балла из максимальных 10. Обрабатывающее настройки плагина действие AJAX разрешено только для авторизованных пользователей, однако проверки привилегий отсутствуют, что позволяет изменять настройки пользователям с низкими привилегиями. В итоге полезная нагрузка может быть внедрена таким образом, чтобы она выполнялась, когда администратор просматривает определенные области своей панели управления. Проблема исправлена в версии Async JavaScript 2.20.02.27.