Хакеры атакуют популярный плагин Better Search Replace для WordPress

ИБ-исследователи заметили вредоносную активность, направленную на популярный плагин Better Search Replace для WordPress. Только за последние 24 часа были обнаружены тысячи попыток атак на CVE-2023-6933, новую уязвимость, найденную в этом плагине на прошлой неделе.

Better Search Replace имеет более миллиона установок и помогает выполнять поиск и замену баз данных при переносе сайта на новый домен или сервер. Администраторы используют этот плагин для поиска и замены определенного текста в базе данных, а также для обработки сериализованных данных. Плагин предлагает возможность выборочной замены, поддерживает многосайтовость WordPress и имеет возможность тестового запуска, чтобы убедиться, что все работает правильно.

На прошлой неделе Better Search Replace выпустил версию 1.4.5, в которой была устранена критическая уязвимость, связанная с инъекцией объектов PHP, идентифицированная как CVE-2023-6933.

Проблема связана с десериализацией недоверенных входных данных, что позволяет неаутентифицированным злоумышленникам внедрять PHP-объекты. Успешная эксплуатация этого недостатка может привести к выполнению кода, доступу к конфиденциальным данным, модификации или удалению файлов, а также спровоцировать бесконечный цикл отказа в обслуживании (DoS).

Данная уязвимость затрагивает все версии Better Search Replace вплоть до версии 1.4.4. Пользователям следует как можно скорее обновиться до версии 1.4.5.

Согласно описанию уязвимости в трекере Wordfence, сам Better Search Replace напрямую не уязвим, но если цепочка POP (Feature Oriented Programming) включена в другой плагин или тему на том же сайте, она может быть использована для выполнения кода, получения конфиденциальных данных или удаления файлов, говорится в отчете.

По словам аналитиков Wordfence, хакеры уже знают об этой новой проблеме, поскольку только за последние 24 часа компания заблокировала более 2500 атак, направленных на CVE-2023-6933 в системах клиентов. Исследователи отмечают, что некоторые из атак могут быть связаны с другими проблемами (например, CVE-2023-25135), но большинство инцидентов — это попытки использовать именно CVE-2023-6933.