В WordPress-плагине miniOrange OAuth SSO обнаружена критическая уязвимость обхода аутентификации

WordPress

Исследователь безопасности Ким Дваш выявил уязвимость в популярном плагине единого входа (SSO) miniOrange OAuth для WordPress. Проблема зарегистрирована под идентификатором CVE-2026-57807 и получила оценку 9,8 балла по шкале CVSS 3.1 - максимальный уровень критичности. Уязвимость затрагивает все версии плагина до 38.5.8 включительно. На момент публикации официального исправления от разработчика не выпущено.

Уязвимость CVE-2026-57807

Суть проблемы кроется в механизме восстановления пароля, который используется плагином как альтернативный путь аутентификации. Этот механизм не выполняет должным образом проверку подлинности пользователя, что позволяет злоумышленнику обойти штатные процедуры входа. Согласно классификации CWE-288, речь идёт об обходе аутентификации с использованием альтернативного пути или канала. В терминах OWASP уязвимость относится к категории A7 (ошибки идентификации и аутентификации).

Вектор атаки описывается строкой CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Это означает, что атака выполняется удалённо через сеть, не требует привилегий, не нуждается в каком-либо взаимодействии с пользователем, а результатом становится полная потеря конфиденциальности, целостности и доступности данных. Эксплуатация опирается на технику CAPEC-50 - использование механизма восстановления пароля. Сложность атаки низкая, что делает её пригодной для массового применения.

Успешное использование уязвимости позволяет неавторизованному удалённому атакующему войти в систему под учётной записью любого зарегистрированного пользователя WordPress, включая администраторов сайта. Последствия могут быть катастрофическими: полный захват управления сайтом, внедрение вредоносного контента, кража данных и перемещение внутри хостинговой среды. Учитывая, что плагин miniOrange OAuth SSO широко применяется для интеграции корпоративных и внешних провайдеров идентификации, масштаб потенциального урона значителен.

Платформа Patchstack, специализирующаяся на обнаружении и блокировке уязвимостей, опубликовала информацию о проблеме 9 июля 2026 года. Специалисты компании присвоили уязвимости статус High Priority, отметив, что подобные дефекты часто используются в массовых атаках, нацеленных на тысячи сайтов WordPress без разбора. Ни трафик сайта, ни его публичная известность не влияют на вероятность попадания под такие кампании.

На сегодняшний день разработчик плагина - компания miniOrange - не выпустила патч. Как сообщается, Patchstack внедрил виртуальное исправление на уровне межсетевого экрана веб-приложений (WAF). Это правило блокирует как легитимные, так и вредоносные попытки эксплуатации, обеспечивая временную защиту для сайтов, использующих сервисы Patchstack, до выхода официальной заплатки.

Администраторам сайтов, установивших уязвимый плагин, рекомендовано немедленно деактивировать и удалить его из всех публично доступных установок WordPress. Если немедленное удаление невозможно, следует применить правила WAF или ограничить доступ к страницам входа и восстановления пароля по IP-адресам. Также важно отслеживать подозрительные попытки восстановления пароля в журналах сервера и доступа. После выхода исправления необходимо обновить плагин сразу же, как только оно появится в официальном репозитории.

Стоит отметить, что это не первый случай критических проблем аутентификации в miniOrange OAuth SSO. В декабре 2024 года была раскрыта уязвимость CVE-2024-10111 с оценкой CVSS 8,1, также связанная с обходом аутентификации. Повторное появление подобных недостатков указывает на системную проблему в процессе разработки и тестирования безопасности плагинов для интеграции OAuth. Такие компоненты занимают исключительно привилегированное положение в стеке аутентификации WordPress, и любая ошибка в них может привести к полной компрометации сайта.

Пользователям WordPress, особенно тем, кто использует корпоративные системы единого входа, стоит пересмотреть политику доверия к плагинам, имеющим в прошлом аналогичные уязвимости. В отсутствие патча единственным надёжным способом защиты остаётся временное отключение плагина. Ситуация вновь поднимает вопрос о необходимости тщательной проверки безопасности плагинов, работающих с критическими функциями аутентификации, - здесь даже одна уязвимость может перечеркнуть все другие меры защиты.

Ссылки

Комментарии: 0