В популярном плагине для WordPress Fancy Product Designer от компании Radykal обнаружены две критические уязвимости, которые до сих пор остаются неустранёнными в последней версии. Этот плагин, проданный более 20 000 раз, позволяет пользователям настраивать дизайн товаров (например, одежды, кружек, чехлов для телефонов) на сайтах WooCommerce, изменяя цвета, текст или размер элементов.
17 марта 2024 года исследователи Patchstack выявили следующие критические уязвимости:
- CVE-2024-51919 (CVSS: 9.0). Уязвимость произвольной загрузки файлов без аутентификации. Функции загрузки файлов, такие как “save_remote_file” и “fpd_admin_copy_file”, не имеют достаточной проверки типов файлов. Это позволяет злоумышленникам загружать вредоносные файлы с удалённых URL, что может привести к выполнению удалённого кода (RCE).
- CVE-2024-51818 (CVSS: 9.3). Уязвимость SQL-инъекции без аутентификации. Неправильная очистка пользовательских данных из-за недостаточной функции “strip_tags” позволяет внедрять вредоносные запросы в базу данных. Это может привести к компрометации базы данных, краже, модификации или удалению данных.
Несмотря на то, что Patchstack уведомила разработчиков о проблемах 18 марта 2024 года, компания Radykal так и не ответила. В январе 2025 года уязвимости были добавлены в базу данных Patchstack, а 6 января компания опубликовала подробный отчёт, предупреждающий пользователей о рисках.
Даже после выхода множества обновлений, включая последнюю версию 6.4.3, выпущенную два месяца назад, проблемы остаются нерешёнными.
- Patchstack рекомендует администраторам предпринять следующие меры для повышения безопасности:
- Запретить произвольную загрузку файлов, создав список разрешённых расширений.
- Защитить базы данных от SQL-инъекций, очищая и форматируя пользовательский ввод с использованием безопасных методов.