يعد المكون الإضافي Forminator WordPress المستخدم في أكثر من 500000 موقع عرضة لخلل يسمح للجهات الفاعلة الخبيثة بإجراء تحميلات غير مقيدة للملفات إلى الخادم.
Forminator من WPMU DEV عبارة عن جهة اتصال مخصصة وتعليقات واختبارات واستطلاعات/استطلاعات رأي ومنشئ نماذج الدفع لمواقع WordPress التي توفر وظائف السحب والإفلات وعمليات تكامل واسعة النطاق مع جهات خارجية وتعدد الاستخدامات بشكل عام.
نشر فريق CERT الياباني يوم الخميس تنبيهًا على بوابة ملاحظات الضعف (JVN) الخاصة به يحذر من وجود ثغرة خطيرة خطيرة (CVE-2024-28890، CVSS v3: 9.8) في Forminator والتي قد تسمح لمهاجم عن بعد بتحميل برامج ضارة على المواقع باستخدام البرنامج المساعد.
“قد يحصل مهاجم عن بعد على معلومات حساسة عن طريق الوصول إلى الملفات الموجودة على الخادم، وتغيير الموقع الذي يستخدم البرنامج الإضافي، والتسبب في حالة رفض الخدمة (DoS).” –JVN
تسرد النشرة الأمنية لـ JPCERT الثغرات الأمنية الثلاث التالية:
- CVE-2024-28890– التحقق غير الكافي من صحة الملفات أثناء تحميل الملفات، مما يسمح للمهاجم عن بعد بتحميل وتنفيذ ملفات ضارة على خادم الموقع. Impact Forminator 1.29.0 والإصدارات الأقدم.
- CVE-2024-31077– خلل في حقن SQL يسمح للمهاجمين عن بعد الذين يتمتعون بامتيازات المسؤول بتنفيذ استعلامات SQL عشوائية في قاعدة بيانات الموقع. Impacts Forminator 1.29.3 والإصدارات الأقدم.
- CVE-2024-31857– خلل في البرمجة النصية عبر المواقع (XSS) يسمح للمهاجم عن بعد بتنفيذ تعليمات برمجية نصية وHTML عشوائية في متصفح المستخدم إذا تم خداعه لاتباع رابط معد خصيصًا. التأثيرات Forminator 1.15.4 وما فوق.
يُنصح مدراء الموقع الذين يستخدمون المكون الإضافي Forminator بترقية المكون الإضافي إلى الإصدار 1.29.3، الذي يعالج العيوب الثلاثة، في أقرب وقت ممكن.
WordPress.orgتظهر الإحصائياتأنه منذ إصدار التحديث الأمني في 8 أبريل 2024، قام ما يقرب من 180 ألف مسؤول موقع بتنزيل المكون الإضافي. وبافتراض أن جميع هذه التنزيلات تتعلق بالإصدار الأحدث، لا يزال هناك 320 ألف موقع لا يزال عرضة للهجمات.
بحلول وقت كتابة هذا التقرير، لم تكن هناك تقارير عامة عن الاستغلال النشط لـ CVE-2024-28890، ولكن نظرًا لخطورة الخلل والمتطلبات سهلة الاستخدام للاستفادة منه، فإن خطر تأجيل المسؤولين للتحديث هو عالي.
لتقليل مساحة الهجوم على مواقع WordPress، استخدم أقل عدد ممكن من المكونات الإضافية، وقم بالتحديث إلى الإصدار الأحدث في أقرب وقت ممكن، وقم بإلغاء تنشيط المكونات الإضافية التي لا يتم استخدامها/الحاجة إليها بشكل نشط.