Уязвимость нулевого дня обнаружена в популярных плагинах CMS WordPress Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery.

Данная уязвимость позволяет злоумышленнику загрузить файл, содержащий php-скрипт (php-бэкдор) с удаленного ресурса и сохранить его в любом месте на сервере. При эксплуатации такой уязвимости нет необходимости в аутентификации и повышении привилегий.

Эксплуатация данной уязвимости позволяет получить контроль над сайтом.

Данная уязвимость была признана критической и оценена в 9,8 балла по шкале CVSS v3.0. Проблема была решена выпуском новых версий плагинов:

Appointments 2.2.2
RegistrationMagic-Custom Registration Forms 3.7.9.3
Flickr Gallery 1.5.3

Для блокирования уязвимостей нулевого дня в Nemesida WAF используются технологии виртуал-патчинга. В таких случаях производится усиленная фильтрация POST запросов, содержащих вхождение внешних ссылок с содержимым, имеющим признаки атаки: http://hackersite/shell.php. Признаками атаки является URL конструкция и расширения php файлов (ph* — php, pht, phtml и т.д.) В данном случае в качестве объекта атаки используется admin-ajax.php, принимающий данные запроса без проверки (в следствии уязвимостей плагинов) и загружающий файл в корневую директорию сайта. Это дополнительная мера защиты (к анализу содержимого файлов или тела запроса), призванная снизить угрозу атаки веб-приложения.