Более 200 000 сайтов на WordPress оказались под угрозой из-за обнаруженной уязвимости в популярном плагине SureForms, который позволяет создавать формы с помощью drag-and-drop интерфейса. Проблема, получившая идентификатор CVE-2025-6691 и оценку 8.8 по шкале CVSS, позволяет злоумышленникам удалять произвольные файлы на сервере, включая критически важные для работы сайта, такие как wp-config.php. Удаление этого файла может привести к полному захвату управления сайтом.
Уязвимость была обнаружена исследователем Phat RiO из команды BlueRock в рамках программы Wordfence Bug Bounty. За ответственное раскрытие информации исследователь получил вознаграждение в размере $4050. Разработчики плагина, компания Brainstorm Force, оперативно отреагировали на сообщение об уязвимости и выпустили патч в версии 1.7.4, а также обновили предыдущие версии плагина (1.6.5, 1.5.1, 1.4.5, 1.3.2, 1.2.5, 1.1.2, 1.0.7, 0.0.14). Кроме того, они сотрудничали с командой WordPress для принудительного обновления уязвимых версий.
Техническая сторона уязвимости заключается в недостаточной проверке путей к файлам в функции delete_entry_files(). При удалении записи формы администратором плагин автоматически удалял файлы, связанные с этой записью. Однако из-за отсутствия проверки злоумышленник мог подменить путь к файлу в отправляемых данных формы, что приводило к удалению любого файла на сервере.
Эксперты рекомендуют всем администраторам сайтов на WordPress как можно скорее проверить, установлена ли у них последняя версия плагина SureForms. Если сайт использует уязвимую версию (1.7.3 или ниже), необходимо обновить её до одной из исправленных. Кроме того, стоит убедиться, что на сервере настроены корректные права доступа к файлам, а резервные копии сайта регулярно создаются и хранятся в безопасном месте.
Это уже не первый случай, когда подобная уязвимость обнаруживается в плагинах для WordPress. Ранее аналогичная проблема была выявлена в Formidable Forms, что свидетельствует о необходимости более тщательной проверки кода разработчиками. Команда Brainstorm Force продемонстрировала ответственный подход к устранению проблемы, что помогло минимизировать потенциальный ущерб для пользователей.
В заключение стоит отметить, что своевременное обновление плагинов и ядра WordPress, использование надежных решений для защиты сайтов и регулярный аудит безопасности - ключевые меры для предотвращения подобных инцидентов. Если вы используете SureForms на своем сайте, убедитесь, что установлена последняя версия, и поделитесь этой информацией с коллегами, чтобы снизить риски массовых атак.
