В плагине TI WooCommerce Wishlist, одном из самых популярных плагинов для создания списков желаний в WordPress, обнаружена серьёзная уязвимость. Этот плагин, имеющий более 500 000 активных установок, позволял злоумышленникам получить доступ к конфиденциальным данным пользователей. Уязвимость возникла из-за недостаточной проверки входных данных, что открывало возможности для XSS-атак.
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин предупреждает: ускорение разработки за счёт использования сторонних фреймворков, шаблонов и плагинов несёт серьёзные киберриски. Хотя готовые решения позволяют быстро запускать продукты, они зачастую приводят к потере контроля над кодом и повышают уязвимость.
Разработчики плагина уже выпустили обновление, устраняющее данную проблему. Всем пользователям настоятельно рекомендуется обновить плагин до последней версии как можно скорее.
«Есть такая проблема в современном мире, что никто не пишет никакие программные продукты с нуля. Все используют фреймворки, шаблоны, плагины и тому подобное — иначе разработка даже простейшего решения занимала бы месяцы. Промежуток времени от идеи до минимально рабочего продукта должен быть минимальным. Но у этого подхода есть огромный минус — вы, строго говоря, не совсем контролируете свой продукт. Проблема усугубляется тем, что все эти сторонние компоненты обновляются и поддерживаются самими сторонними разработчиками, а делать это они в общем-то не обязаны. Существует безумное количество бизнес-приложений, в которых используются компоненты, поддерживаемые энтузиастами в свободное время. И заканчивается это зачастую одним и тем же — в компоненте появляется уязвимость, и она автоматом распространяется по всему миру. И чем популярнее фреймворк, тем масштабнее проблемы», — отметил киберэксперт.
Полунин подчеркнул, что новая уязвимость в Wordpress как раз из числа самых популярных фреймворков для создания веб-сайтов. «Причём это фреймворк с богатой историей и огромным спектром дополнений, шаблонов и плагинов. Плагин для создания вишлистов был номером один среди подобных в маркетплейсе Wordpress и имел более полумиллиона скачиваний. Соответственно, все полмиллиона инсталляций получили эту уязвимость автоматом. Как этого можно было избежать? Это очень непростой вопрос. И ответ на него зависит от того, насколько пристально вы следите за безопасностью своего программного продукта. Если безопасность — ваш приоритет, то вы можете выстроить собственную процедуру разработки, которая будет включать контроль программного кода на каждом этапе — когда он хранится в репозитории, когда загружается на сервер, когда запускается, и так далее. Вы можете выстроить саму среду разработки таким образом, чтобы контролировать наличие уязвимостей на элементах ИТ-инфраструктуры с помощью Efros Defence Operations, и ситуация изменится в лучшую сторону. Но тут нужно понимать, что в этом случае скорость выхода новых версий вашего веб-приложения будет заметно ниже и бизнесу нужно найти баланс — между безопасностью и прибылью», — заключил киберэксперт.