Сразу три популярных плагина WordPress с десятками тысяч активных установок уязвимы для критических проблем с SQL-инъекциями. Кроме того, эксплойты PoC для этих ошибок теперь общедоступны.

Уязвимости обнаруживают специалисты компании Надежный, который уведомил разработчиков WordPress о них еще в середине декабря 2022 года, предоставив им экспериментальные эксплойты. Между тем, авторы плагинов уже выпустили патчи для решения проблем, поэтому исследователи раскрыли технические детали найденных багов.

Первый плагин, уязвимый для SQL-инъекций: Платное членство ProПредназначен для управления членством и подписками, используется более чем на 100 000 сайтов.

“Плагин не может экранировать параметр code В пути REST /pmpro/v1/order до того, как они будут использованы в операторе SQL, что приводит к уязвимости к неавторизованным SQL-инъекциям», — пишут исследователи.

Уязвимость отслеживается как CVE-2023-23488 (оценка CVSS 9,8, т.е. критическая) и затрагивает все версии плагинов старше 2.9.8, проблема устранена с выпуском версии 2.9.8.

Второй уязвимый плагин Простые цифровые загрузкиПредназначен для электронной коммерции и продажи цифровых файлов, более 50 000 активных установок.

“Плагин не может экранировать параметр s в edd_download_search до того, как он будет использован в операторе SQL, что приводит к уязвимости к SQL-внедрению без проверки подлинности», — пояснил Тенабл.

Уязвимость отслеживается как CVE-2023-23489 (также 9,8 по шкале CVSS) и затрагивает все версии плагина старше 3.1.0.4, выпущенные до 5 января 2023 года.

Компания Tenable также обнаружила проблему CVE-2023-23490 в плагине. Маркер опроса Используется на 3000 опросных и исследовательских сайтах. Уязвимость получила оценку CVSS 8,8, так как злоумышленник должен пройти аутентификацию (по крайней мере, как подписчик), чтобы использовать ошибку. К сожалению, это условие можно легко выполнить, поскольку многие сайты позволяют посетителям регистрироваться в качестве участников.

Уязвимость в плагине устранена с выходом версии 3.1.2 в конце декабря 2022 года.