9.3 и 10: в популярном плагине для дизайна товаров обнаружена 0day-уязвимость

Исправления до сих пор нет. Как обезопасить свой сайт?


m23yfgfo7824r0slu3frqwcu40t1be42.jpg


В популярном плагине для WordPress Fancy Product Designer от компании Radykal обнаружены две критические уязвимости, которые до сих пор остаются неустранёнными в последней версии. Этот плагин, проданный более 20 000 раз, позволяет пользователям настраивать дизайн товаров (например, одежды, кружек, чехлов для телефонов) на сайтах WooCommerce , изменяя цвета, текст или размер элементов.

17 марта 2024 года исследователи Patchstack выявили следующие критические уязвимости:

  • CVE-2024-51919 (CVSS: 9.0). Уязвимость произвольной загрузки файлов без аутентификации. Функции загрузки файлов, такие как «save_remote_file» и «fpd_admin_copy_file», не имеют достаточной проверки типов файлов. Это позволяет злоумышленникам загружать вредоносные файлы с удалённых URL, что может привести к выполнению удалённого кода (RCE).
  • CVE-2024-51818 (CVSS: 9.3). Уязвимость SQL-инъекции без аутентификации. Неправильная очистка пользовательских данных из-за недостаточной функции «strip_tags» позволяет внедрять вредоносные запросы в базу данных. Это может привести к компрометации базы данных, краже, модификации или удалению данных.
Несмотря на то, что Patchstack уведомила разработчиков о проблемах 18 марта 2024 года, компания Radykal так и не ответила. В январе 2025 года уязвимости были добавлены в базу данных Patchstack, а 6 января компания опубликовала подробный отчёт, предупреждающий пользователей о рисках.

Даже после выхода множества обновлений, включая последнюю версию 6.4.3, выпущенную два месяца назад, проблемы остаются нерешёнными.

  • Patchstack рекомендует администраторам предпринять следующие меры для повышения безопасности:
  • Запретить произвольную загрузку файлов, создав список разрешённых расширений.
  • Защитить базы данных от SQL-инъекций, очищая и форматируя пользовательский ввод с использованием безопасных методов.