Критическая уязвимость, позволяющая выполнять произвольный код на сервере без аутентификации, была обнаружена в плагине Kali Forms для WordPress, который используется более чем на 10 000 активных сайтов. Эксплуатация этой уязвимости, получившей идентификатор CVE-2026-3584 и максимально возможную оценку по шкале CVSS 9.8, началась в день её публичного раскрытия и привела к сотням тысяч попыток взлома. Основная опасность заключается в том, что злоумышленники могут не только получить полный контроль над веб-сервером, но и обойти механизмы аутентификации, получив доступ к учётной записи администратора сайта.
Описание
Проблема затрагивает все версии плагина до 2.4.9 включительно и была устранена разработчиком 20 марта 2026 года в обновлении 2.4.10. Однако, как часто бывает в подобных случаях, информация об уязвимости моментально привлекла внимание киберпреступников. Специалисты компании Wordfence, занимающейся безопасностью WordPress, сообщили, что их система защиты заблокировала уже свыше 312 200 попыток эксплуатации данной уязвимости. Пик атак пришёлся на период с 4 по 10 апреля, что демонстрирует высокий интерес злоумышленников к этой лазейке в безопасности.
Техническая суть уязвимости кроется в ошибке логики обработки данных, отправляемых через формы. Плагин использует внутренний массив "placeholdered_data" для хранения служебных значений-заполнителей, таких как счётчик отправленных форм. Функция "prepare_post_data()" некорректно позволяет пользователю произвольно перезаписывать ключи этого массива, не проверяя и не фильтруя вводимые данные. Впоследствии значения из этих ключей передаются напрямую в функцию PHP "call_user_func()", которая выполняет код, указанный в строке. Таким образом, злоумышленник может подставить в отправляемую форму имя любой функции PHP, и сервер её выполнит.
Наиболее опасным сценарием использования этой уязвимости является полный обход аутентификации. Исследователь, обнаруживший проблему, продемонстрировал, что атакующий может установить значение "{entryCounter}" равным "wp_set_auth_cookie" - встроенной функции WordPress для установки аутентификационных куки-файлов. Отправив в форме идентификатор поста, равный 1 (что обычно соответствует учётной записи администратора по умолчанию), злоумышленник заставляет плагин выполнить "wp_set_auth_cookie(1)". В результате сервер WordPress отправляет браузеру атакующего действительные куки администратора, позволяя войти в панель управления без знания логина и пароля. Получив права администратора, злоумышленник может редактировать файлы темы, добавлять вредоносный код, устанавливать бэкдоры или похищать конфиденциальные данные.
Анализ данных брандмауэра Wordfence показывает высокую степень автоматизации атак. Десять наиболее активных IP-адресов, с которых осуществлялись попытки взлома, суммарно сгенерировали сотни тысяч запросов. Лидирующий адрес 209.146.60[.]26 является источником более 152 000 заблокированных попыток. Подобная активность указывает на скоординированные кампании массового сканирования и атак на уязвимые сайты, что типично для ботнетов или групп, занимающихся распространением программ-вымогателей. К сожалению, после успешного взлома и получения прав администратора, злоумышленник может легко скрыть следы своей деятельности, что затрудняет обнаружение компрометации. Специалисты рекомендуют администраторам, использующим уязвимые версии плагина, провести тщательную проверку журналов событий на наличие подозрительных запросов и активности учётных записей.
Данный инцидент в очередной раз подчёркивает критическую важность своевременного обновления всех компонентов веб-приложения, особенно сторонних плагинов и тем. Разработчик плагина Kali Forms оперативно отреагировал на сообщение в рамках программы Bug Bounty, выплатив исследователю вознаграждение в размере 2145 долларов, и выпустил патч. Однако разрыв в 15 дней между получением отчёта (2 марта) и выпуском исправления (20 марта), а также последующее мгновенное начало эксплуатации создали опасное окно для атак.
В свете активных атак единственной надёжной мерой защиты является немедленное обновление плагина Kali Forms до версии 2.4.10 или выше. Простое наличие защитного правила в брандмауэре, хотя и блокирует попытки прямой эксплуатации, не устраняет корневую причину и может мешать нормальной функциональности плагина. Администраторам, которые подозревают, что их сайты могли быть скомпрометированы, следует рассмотреть возможность проведения профессионального аудита безопасности и реагирования на инциденты, поскольку последствия таких атак часто выходят далеко за рамки простой дефейсации и могут включать в себя кражу данных клиентов, скрытое криптомайнинг-программное обеспечение или интеграцию сайта в фишинговую кампанию.
Индикаторы компрометации
IPv4
- 1.53.114.181
- 104.28.160.197
- 114.10.99.126
- 124.248.183.139
- 130.12.182.154
- 157.15.40.74
- 202.56.2.126
- 209.146.60.26
- 49.156.40.126
- 83.147.12.83
