В конце июня 2025 года эксперты по кибербезопасности обнаружили серию уязвимостей в популярном плагине HT Contact Form для WordPress, который используется более чем на 10 000 сайтов. Проблемы включают возможность несанкционированной загрузки, удаления и перемещения файлов на сервере, что может привести к полному захвату веб-ресурсов злоумышленниками.
Детали уязвимостей
Плагин HT Contact Form предназначен для создания контактных форм и интеграции с Elementor, Gutenberg и другими конструкторами страниц. Однако из-за недостаточной проверки входных данных в его коде атакующие могут эксплуатировать уязвимости, даже не имея учетных записей на целевых сайтах.
Первая обнаруженная уязвимость (CVE-2025-7340) связана с возможностью загрузки произвольных файлов на сервер. Из-за отсутствия проверки типов файлов злоумышленники могут загружать вредоносные скрипты, включая PHP-код, что в большинстве случаев позволяет получить полный контроль над сайтом. Вторая проблема (CVE-2025-7341) дает возможность удалять любые файлы, включая критически важный wp-config.php, что также приводит к компрометации ресурса. Третья уязвимость (CVE-2025-7360) позволяет перемещать файлы, что может использоваться для атак, аналогичных удалению.
Исследователи vgo0 и Phat RiO - BlueRock обнаружили эти уязвимости в рамках программы вознаграждений Wordfence Bug Bounty Program и получили выплаты в размере $1 431, $991 и $675 соответственно. Разработчики плагина, команда HasTech IT, оперативно отреагировали на сообщение о проблемах и выпустили исправление в версии 2.2.2 уже 13 июля 2025 года.
Технический анализ кода показал, что уязвимости возникали из-за недостаточной валидации параметров в функциях temp_file_upload, temp_file_delete и handle_files_upload. Например, в случае загрузки файлов плагин не проверял их расширения, что позволяло атакующим загружать исполняемые скрипты. В случае удаления и перемещения файлов проблема заключалась в отсутствии контроля за путями, что давало возможность манипулировать любыми файлами на сервере.
Пользователям WordPress настоятельно рекомендуется проверить версию HT Contact Form на своих сайтах и как можно скорее обновить её до актуальной 2.2.2.
Таймлайн событий показывает, что процесс ответственного раскрытия уязвимостей занял менее месяца: первые сообщения поступили 24 июня и 4 июля, а фикс был выпущен 13 июля. Это демонстрирует важность сотрудничества между исследователями безопасности и разработчиками для оперативного устранения угроз.
Подобные инциденты подчеркивают необходимость регулярного обновления плагинов и мониторинга уязвимостей в экосистеме WordPress. Даже популярные решения с тысячами активных установок могут содержать критические ошибки, способные привести к масштабным компрометациям. Владельцам сайтов стоит обращать внимание на предупреждения экспертов и своевременно применять обновления безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-7340
- https://www.cve.org/CVERecord?id=CVE-2025-7341
- https://www.cve.org/CVERecord?id=CVE-2025-7360
