Недавний отчет от BleepingComputer выявил критические уязвимости в теме WordPress RealHome и плагине Easy Real Estate. Эти проблемы безопасности позволяют злоумышленникам получить привилегии администратора на веб-сайтах, что ставит под угрозу данные и функциональность множества ресурсов.
Уязвимость темы RealHome (CVE-2024-32444) имеет высокий уровень риска с оценкой CVSS 9,8. Проблема заключается в функции регистрации новых пользователей через `inspiration_ajax_register`, где отсутствует должная проверка авторизации. Это позволяет злоумышленнику зарегистрировать учетную запись с правами администратора, обходя все проверки. На данный момент тема используется на более чем 32 600 веб-сайтах, что увеличивает масштаб потенциального ущерба.
Проблема с плагином Easy Real Estate (CVE-2024-32555) также требует внимания. Его функция входа через социальные сети не проверяет действительность адреса электронной почты, что позволяет злоумышленникам войти в систему, зная лишь адрес администратора. Это открывает доступ к управлению сайтом без необходимости вводить пароль.
Несмотря на неоднократные обращения к разработчикам InspiryThemes с сентября 2024 года, исправления для этих уязвимостей до сих пор не выпущены. Владельцам веб-сайтов настоятельно рекомендуют отключить проблемные темы и плагины, так как информация об уязвимостях стала общедоступной.
