Amikor a fejlesztők tesznek az etikus hackerekre

​Több ezer WordPress alapú weboldalon működik az a Fancy Product Designer nevű kiegészítő, amely két súlyos sérülékenységet tartalmaz.
 

Nem éppen a felelős szoftverfejlesztésről tettek tanúbizonyságot a Fancy Product Designer bővítmény fejlesztői, akik az etikus hibabejelentés ellenére fülük botját sem mozdították annak érdekében, hogy a feltárt sebezhetőségeket megszüntessék.
 
A szóban forgó WordPress-es kiegészítő vizsgálatát a Patchstack biztonsági kutatója, Rafie Muhammad végezte el még 2024 márciusában. A szakember március 17-én két sebezhetőségre lett figyelmes, amelyekről kiderült, hogy komoly kockázatot jelentenek. Egy nappal később a Patchstack hivatalosan is értesítette a Fancy Product Designer fejlesztőit a biztonsági résekről, és átadta a hibaleírásokat. Ugyanakkor erre az értesítőre semmiféle választ nem kapott. (A novemberben megjelent, 6.4.3-as verziójú kiegészítő még tartalmazta a sérülékenységeket.)
 
A Patchstack úgy döntött, hogy nem vár tovább, és nyilvánosságra hozza a feltárt sebezhetőségeket. Ugyan nem tett minden technikai részletet közzé, de a nyilvánosságra került információk már elégségesek lehetnek ahhoz, hogy a kibertámadók elkészítsék a saját exploitjaikat a hibák kihasználásához.
 
A több mint 20 ezer alkalommal eladott Fancy Product Designer bővítményt a következő két sebezhetőség veszélyezteti:

• CVE-2024-51919 (CVSS: 9.0): nem megfelelően implementált fájlfeltöltés (save_remote_file és fpd_admin_copy_file függvények)
• CVE-2024-51818 (CVSS: 9.3): SQL injection sérülékenység (nem megfelelő strip_tags használat)

 
Az előbbi hiba jogosulatlan távoli kódfuttatáshoz, míg az utóbbi jogosulatlan adathozzáféréshez és adatmanipulációhoz járulhat hozzá.