BI.ZONE WAF: защита от уязвимости в WordPress

Компания BI.ZONE объявила, что ее сервис WAF обеспечивает защиту пользователей от новой уязвимости в WordPress-плагине JS Help Desk, которая может быть использована злоумышленниками для получения контроля над целевой системой.

Об уязвимости CVE-2024-7094 стало известно 12 августа. Она обнаружена в плагине JS Help Desk, который используется для организации системы техподдержки на сайтах на платформе WordPress. Уязвимость затрагивает все версии плагина до 2.8.6 включительно, по шкале CVSS она получила оценку 9,8 из 10 баллов.

CVE-2024-7094 позволяет реализовать атаки с использованием PHP-инъекций, которые ведут к удаленному выполнению кода. Таким образом злоумышленник может получить полный контроль над скомпрометированной системой и доступ к конфиденциальной информации.

В сети уже есть примеры эксплуатации уязвимости (PoC). Хотя специалисты BI.ZONE WAF пока не зафиксировали нелегитимной активности с использованием этой уязвимости, они не исключают, что число атак на приложение может возрасти.

Уязвимость была частично устранена разработчиками в версии 2.8.6 и полностью закрыта в версии 2.8.7. Если компания по каким-то причинам не готова в кратчайшие сроки перейти на новую версию, BI.ZONE WAF поможет в защите от атак с эксплуатацией CVE-2024-7094. Специалисты разработали правило фильтрации, которое детектирует нелегитимные данные, передаваемые в уязвимую форму.