Национальная база данных уязвимостей США (NVD) опубликовала информацию о критической уязвимости под идентификатором CVE-2023-4596 в плагине контактных форм Forminator для WordPress вплоть до версии 1.24.6.
уязвимость получила рейтинг 9,8 по 10-балльной шкале CVSS, где 10 – самый высокий уровень опасности. Она позволяет неавторизованным злоумышленникам загружать вредоносные файлы на сайты, что может привести к удалённому выполнению кода.
Уязвимость особенно опасна тем, что доступна даже неавторизованным пользователям, не имеющим учётной записи на сайте. В то время как многие другие уязвимости обычно требуют определённого уровня доступа, например, учётную запись пользователя или администратора.
Вторая причина, по которой эта уязвимость получила столь высокую оценку опасности заключается в том, что злоумышленники могут загружать произвольные файлы любого типа, например вредоносные скрипты.
Согласно информации с сайта Wordfence, проблема решена в версии Forminator 1.25.0. Всем пользователям WordPress, использующим данный плагин, рекомендуется срочно обновить его до последней версии.
Справедливо отметить, что подобного рода уязвимости не являются уникальными только для плагинов WordPress. Они могут возникать в любой системе управления контентом.
Именно поэтому вне зависимости от используемой системы, пользователям рекомендуется регулярно использовать сервисы мониторинга безопасности и своевременно обновлять любые плагины и прочие сторонние инструменты, чтобы обеспечить как свою собственную безопасность, так и безопасность своих клиентов.