У популярному плагіні s2Member Pro для WordPress виявлено критичну уразливість (CVE-2024-12562) (CVSS 9.8). Баг дозволяє зловмисникам впроваджувати шкідливі PHP-об’єкти без аутентифікації, що ставить під загрозу мільйони веб-сайтів.
s2Member Pro – популярний плагін, який використовується для управління членством, продажу підписок та контролю доступу до контенту. Це поширений плагін, який використовується для управління членством, продажу підписок і контролю доступу до контенту. Загалом цей плагін було завантажено понад 1,6 мільйона разів, що робить цю уразливість особливо небезпечною. Проблема полягає в некоректній обробці даних, що передаються через параметр s2member_pro_remote_op. Це створює умови для проведення атаки на впровадження об’єктів PHP та дозволяє зловмиснику запустити ланцюжок атак. Такі дії можуть призвести до видалення файлів, крадіжки конфіденційних даних та віддаленого виконання коду. Уразливість була виявлена дослідником Wordfence Іштваном Мартоном, відомим розробником рішень для безпеки WordPress. Команда розробників s2Member швидко відреагувала, випустивши оновлення 250214, яке виправляє цю помилку.
Подібні вразливості часто призводять до масштабних атак на веб-сайти. Наприклад, у 2024 році повідомлялося про атаки через плагін PHP Everywhere і про злом плагіна в рамках атаки на ланцюжок поставок. Власникам веб-сайтів, які використовують s2Member Pro, рекомендується негайно оновити свої плагіни до версії 250214.
