A Radykal által fejlesztett Fancy Product Designer WordPress plugin két kritikus súlyosságú sérülékenységgel is rendelkezik, amelyek a jelenlegi legfrissebb verzióban sincsenek javítva. A szoftver igen népszerű: több mint 20 000-en töltötték le, így a potenciálisan érintettek száma is magas. A plugin a WooCommerce-szet használó webshopokban árult termékek (ruházat, bögrék, telefontokok stb.) testreszabásának megkönnyítésére lett létrehozva, például színek módosítására, szöveg vagy méretek megváltoztatására.
A hibák észrevételére 2024 március 17-én került sor, amikor Rafie Muhammad a plugint megvizsgálta és két sérülékenységre lett figyelmes:
- CVE-2024-51919 (CVSS pontszám: 9.0): Hitelesítést nem igénylő tetszőleges fájl feltöltési sérülékenység, amit a fájlfeltöltési függvények (’save_remote_file’ és ’fpd_admin_copy_file’) nem biztonságos implementációja okoz. Nincs ellenőrizve vagy korlátozva, milyen fájltípus kerül feltöltésre. A támadók ezt kihasználhatják rosszindulatú fájlok feltöltésére, amivel távoli kódfuttatás válik lehetővé számukra.
- CVE-2024-51818 (CVSS pontszám: 9.3): Hitelesítést nem igénylő SQL Injection típusú sérülékenység, amit a felhasználói bemenetek nem megfelelő tisztítása okoz, mivel a plugin csak a „strip_tags” függvényt alkalmazza. A felhasználók által megadott bemenet közvetlenül bekerül az adatbázis-lekérdezésekbe megfelelő validáció nélkül, ami az adatbázis kompromittálódásához, adatkinyeréshez, módosításhoz vagy az adatok törléséhez vezethet.
A kutató azonnal jelezte a fejlesztőknek az észrevételét, azonban a bleepingcomputer.com értesülése szerint a mai napig nem kapott választ. A felfedezés óta a pluginhoz 20 frissítés is érkezett, a legutóbbi a 6.4.3, ami két hónappal ezelőtt jelent meg, azonban a sérülékenységek még ebben is fennállnak. 2025 január 6-án bekerültek a Patchstack adatbázisába és pár nappal rá egy blog post-ban nyilvánosságra hozták őket. Ez az írás elegendő technikai információt tartalmaz ahhoz, hogy a támadók kihasználják a sérülékenységeket, és célzott támadásokat indítsanak azon webáruházak ellen, amelyek a Radykal Fancy Product Designer plugint használják.
A rendszerüzemeltetőknek tanácsolt manuálisan whitelistet létrehozniuk a biztonságosan feltölthető fájlok kiterjesztésének szűrésére, felhasználóként pedig tanácsos deaktiválni vagy uninstallálni a plugint, amíg nem jelenik meg hozzá javítás.
