„RealHome“ tema ir „Easy Real Estate“ papildiniai, skirti „WordPress“, yra pažeidžiami dėl dviejų kritinių rimtumo trūkumų, leidžiančių neautentifikuotiems vartotojams įgyti administratoriaus teises.
Nors šiuos du trūkumus 2024 m. rugsėjį aptiko „Patchstack“ ir ne kartą buvo bandoma susisiekti su pardavėju („InspiryThemes“), tyrėjai teigia, kad atsakymo negavo.
Be to, „Patchstack“ teigia, kad pardavėjas nuo rugsėjo mėnesio išleido tris versijas, tačiau nebuvo pristatyta jokių saugumo pataisų, skirtų kritinėms problemoms spręsti. Taigi problemos lieka neišspręstos ir išnaudojamos.
Išsami informacija apie pažeidžiamumą
„RealHome“ tema ir „Easy Real Estate“ yra vienos iš populiariausių temų ir papildinių, skirtų naudoti nekilnojamojo turto svetainėse. „Envanto Market“ duomenimis, „RealHome“ tema naudojama 32 600 svetainių.
Pirmasis trūkumas, turintis įtakos „RealHome“ temai, yra neautentifikuota privilegijų eskalavimo problema, stebima kaip CVE-2024-32444 (CVSS balas: 9,8).
Ši tema leidžia vartotojams registruoti naujas paskyras naudojant funkciją „inspiry_ajax_register“, tačiau ji netinkamai patikrina įgaliojimą arba neįgyvendina nepatvirtinimo.
Jei svetainėje įgalinta registracija, užpuolikai gali savavališkai nurodyti savo „administratoriaus“ vaidmenį specialiai sukurtoje HTTP užklausoje registracijos funkcijai, iš esmės apeidami saugumo patikras.
Užsiregistravęs kaip administratorius, užpuolikas gali įgyti visišką „WordPress“ svetainės kontrolę, įskaitant turinio manipuliavimą, scenarijų diegimą ir prieigą prie vartotojo ar kitų neskelbtinų duomenų.
Trūkumas, turintis įtakos „Easy Real Estate“ papildiniui, yra dar viena neautentifikuota privilegijų eskalavimo problema naudojant socialinį prisijungimą. Jis stebimas pagal CVE-2024-32555 (CVSS balas: 9,8).
Problema kyla dėl socialinio prisijungimo funkcijos, kuri leidžia vartotojams prisijungti naudojant savo el. pašto adresą, nepatikrinus, ar jis priklauso užklausą pateikusiam asmeniui.
Todėl, jei užpuolikas žino administratoriaus el. pašto adresą, jis gali prisijungti be slaptažodžio. Sėkmingo išnaudojimo pasekmės yra panašios į CVE-2024-32444.
Sušvelninimo rekomendacijos
Kadangi InspiryThemes dar neišleido pataisos, svetainių savininkai ir administratoriai, naudojantys minėtą temą ar papildinį, turėtų nedelsdami juos išjungti.
Apribojus vartotojų registraciją paveiktose svetainėse, taip pat būtų išvengta neteisėtų paskyrų kūrimo, o tai apribotų išnaudojimo galimybes.
Kadangi šių dviejų priedų problemos dabar yra viešos, grėsmės veikėjai privalo ištirti savo potencialą ir ieškoti pažeidžiamų svetainių, todėl šiuo metu labai svarbu greitai reaguoti, kad būtų sumažinta grėsmė.