Критическая 0-day в WordPress-плагине используется в реальных атаках

Киберпреступники вновь нацелились на уязвимость нулевого дня (0-day) в одном из плагинов для сайтов на движке WordPress. Речь идёт о Fancy Product Designer, дыра в котором позволяет атакующим загрузить на ресурс вредоносную программу.

Fancy Product Designer, разработанный под WordPress, WooCommerce и Shopify, позволяет владельцам сайтов кастомизировать контент под свою графику. Согласно статистике, этот плагин купили и установили более 17 тысяч администраторов веб-ресурсов.

О критической уязвимости сообщил исследователь из Wordfence Чарльз Суитхилл. Из описания эксперта становится понятно, что брешь затрагивает не только WordPress, но и WooCommerce-версию плагина. Однако использовать эту же дыру на площадках Shopify вряд ли удастся с тем же успехом, поскольку там используются более ограниченные права.

Если условный злоумышленник задействует уязвимость Fancy Product Designer в атаке, ему удастся загрузить вредоносные файлы в формате PHP. Другими словами, киберпреступник получит полный контроль над целевым веб-ресурсом. Один из экспертов отметил, что сейчас важно опубликовать лишь минимальные сведения об уязвимости, поскольку она эксплуатируется в реальных атаках.

Индикаторы компрометации (IoC), используемые в атаках IP-адреса — всё это можно найти в отчёте WordFence.