פרצת SQL Injection נמצאה בפלאגין The Event Calendar של וורדפרס

פרצת SQL Injection נמצאה בפלאגין The Event Calendar של וורדפרס

פורסם ב 29-09-2024

פרצה קריטית נמצאה בפלאגין The Event Calendar, שתפקידו (כפי ששמו מרמז) להציג אירועים שונים בפורמט של לוח שנה באתרי וורדפרס. הפרצה חושפת חולשה בפלאגין, שמאפשרת לתוקף פוטנציאלי להוציא לפועל, בקלות יחסית, מתקפת SQL Injection. היא מעמידה את מעל ל-800,000 משתמשי The Event Calendar בסיכון של גניבת מידע ושיבוש מערכות.

איך הפרצה עובדת?

החולשה נובעת מכך שבפרמטר ‘order’ בפונקציית ‘tribe_has_next_event’ בפלאגין לא מבוצע “מילוט” (Escaping) לתווים שמספק המשתמש בשאילתה הנשלחת למסד ה-SQL. כלומר, תווים חשודים, כמו /,;,– וכדומה, אינם עוברים “סינון וניקוי” מספיקים כאשר הם מוזנים בפרמטר ‘order’. כך, יכול תוקף פוטנציאלי “להזריק” שאילתות SQL נוספות לשאילתה קיימת. השאילתות הנוספות האלה יכולות להכיל קוד זדוני – ובאמצעותו יכול התוקף לדלות נתונים ממסד הנתונים של השרת או של האתר.

הפרצה תוייגה כ-CVE-2024-8275. בשל רמת החשיפה הגבוהה שלה, ובגלל שהיא אינה מסובכת לביצוע (אין צורך בהרשאות מיוחדות, וניתן לבצע אותה מרחוק), היא קיבלה דירוג של 9.8 מתוך 10 בסולם CVSSv3.
הגירסאות הפגיעות הן גירסה 6.4.4 וכל קודמותיה.

מפתחי הפלאגין הוציאו גירסה מוטלאת שלו, גירסה 6.4.4.1, ב-16 לספטמבר. עברו כמה ימים מאז, ואת הגירסה העדכנית ביותר – 6.7 – ניתן להוריד מכאן.
מומלץ למשתמשי הפלאגין לבצע את העדכון בדחיפות כדי להישאר מוגנים.