В экосистеме WordPress, где безопасность миллионов сайтов напрямую зависит от качества сторонних расширений, обнаружение серьёзных уязвимостей в популярных плагинах всегда становится событием, приковывающим внимание администраторов и специалистов по информационной безопасности. На этот раз в центре внимания оказался плагин для создания форм MW WP Form, который установлен более чем на 200 000 активных сайтов. Исследователь, известный под псевдонимом ISMAILSHADOW, выявил в нём критическую уязвимость, позволяющую неавторизованным злоумышленникам перемещать и удалять любые файлы на сервере, что открывает путь к полному захвату веб-ресурса.
Уязвимость CVE-2026-4347
Суть проблемы, получившей идентификатор CVE-2026-4347 и высокий рейтинг опасности 8.1 по шкале CVSS, заключается в недостаточной проверке путей к файлам. Уязвимость затрагивает все версии плагина вплоть до 5.1.0 включительно. Она кроется в функции "move_temp_file_to_upload_dir", которая используется для перемещения загруженных через форму файлов. При определённых условиях, а именно при включённой в настройках формы опции "Сохранение данных запроса в базе данных", злоумышленник может передать в запросе абсолютный путь к любому системному файлу вместо имени загружаемого файла. Встроенная защита от обхода директорий (path traversal) в коде плагина проверяла только относительные пути с использованием конструкций вроде "../", но не учитывала возможность передачи полного пути, что и стало роковой ошибкой.
В результате функция "rename", используемая в процессе, перемещает указанный злоумышленником файл в папку загрузок WordPress, что фактически равносильно его удалению из исходного расположения. Наиболее опасным сценарием является перемещение ключевого файла конфигурации WordPress - "wp-config.php". Этот файл содержит критически важные данные для подключения к базе данных, включая логин, пароль и её имя. Его удаление приводит к сбросу сайта в состояние первоначальной установки, после чего злоумышленник может инициировать процесс повторной настройки, подключив сайт к контролируемой им базе данных. Это гарантированно приводит к полному захвату контроля над веб-ресурсом, а в дальнейшем - к возможности выполнения произвольного кода на сервере.
Важно подчеркнуть, что для эксплуатации данной уязвимости атакующему не требуется иметь учётную запись на сайте - достаточно отправить специально сформированный запрос к форме, созданной с помощью уязвимого плагина. Однако существует важное условие: администратор сайта должен был активировать в настройках конкретной формы сохранение данных в базе данных и добавить в форму поле для загрузки файлов. Если эта опция отключена, плагин удаляет временные файлы сразу после отправки письма, и уязвимость не может быть использована.
Команда Wordfence, получившая отчёт через программу вознаграждений за ошибки (Bug Bounty Program), оперативно провела валидацию и 24 марта 2026 года уведомила разработчика плагина - компанию Monkey Wrench Inc. Реакция вендора была образцовой: уже на следующий день они зарегистрировались на портале для поставщиков, а 26 марта выпустили полностью исправленную версию плагина 5.1.1. За свой вклад в безопасность сообщества исследователь ISMAILSHADOW получил вознаграждение в размере 3105 долларов США.
Данный инцидент наглядно демонстрирует классический сценарий уязвимости, возникающей из-за неполной валидации пользовательского ввода. Разработчики сосредоточились на блокировке очевидных атак с использованием относительных путей, но упустили из виду альтернативные векторы. Между тем, для опытных администраторов это ещё одно напоминание о критической важности своевременного обновления всех компонентов сайта. Установка исправленной версии 5.1.1 плагина MW WP Form полностью устраняет угрозу.
Этот случай подчёркивает эффективность многослойного подхода к безопасности, когда защита не полагается исключительно на своевременность действий разработчика ПО, а включает в себя превентивные меры на уровне приложения. Владельцам сайтов, использующим MW WP Form, необходимо в приоритетном порядке проверить и обновить плагин до актуальной версии, чтобы устранить серьёзный риск компрометации своих ресурсов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-4347
- https://www.wordfence.com/threat-intel/vulnerabilities/id/194ee4a0-87c3-42e5-9676-8dd355838b78
- https://plugins.trac.wordpress.org/browser/mw-wp-form/tags/5.1.0/classes/controllers/class.main.php#L271
- https://plugins.trac.wordpress.org/browser/mw-wp-form/tags/5.1.0/classes/models/class.directory.php#L138
