Niezwykle popularna wtyczka do tworzenia formularzy do narzędzia do tworzenia witryn WordPress (otwiera się w nowej karcie) z ponad milionem instalacji jest podatna na poważną lukę, która może pozwolić cyberprzestępcom przejąć kontrolę nad całą witryną.
Firma Ninja Forms wydała niedawno nową poprawkę, która po poddaniu inżynierii wstecznej zawierała lukę umożliwiającą wstrzyknięcie kodu (otwiera się w nowej karcie), która miała wpływ na wszystkie wersje, począwszy od wersji 3.0.
Według Chloe Chamberland, menedżera analizy zagrożeń w Wordfence, zdalne wykonanie kodu za pomocą deserializacji umożliwia hakerom przejęcie pełnej kontroli nad podatną na ataki witryną.
Dowód nadużycia
„Odkryliśmy lukę w zabezpieczeniach polegającą na wstrzykiwaniu kodu, która umożliwiała nieuwierzytelnionym atakującym wywoływanie ograniczonej liczby metod w kilku klasach Ninja Forms, w tym metody deserializacji treści dostarczanej przez użytkownika, co prowadziło do wstrzykiwania obiektów” – powiedział Chamberland.
„Mogłoby to pozwolić atakującym na wykonanie dowolnego kodu (otwiera się w nowej karcie) lub usunięcie dowolnych plików w witrynach, w których znajdował się inny ciąg POP”.
Co gorsza, zaobserwowano, że usterka jest nadużywana na wolności, odkrył Wordfence.
Jak odkrył BleepingComputer, poprawka została wepchnięta siłą do większości dotkniętych witryn. Patrząc na statystyki pobierania łat, ponad 730 000 stron internetowych zostało już załatanych. Chociaż liczba ta jest zachęcająca, nadal pozostawia setki tysięcy witryn podatnych na ataki.
Ci, którzy używają Ninja Forms i nie dokonali jeszcze aktualizacji, powinni zainstalować łatkę ręcznie, tak szybko, jak to możliwe. Można to zrobić z pulpitu nawigacyjnego, a administratorzy muszą upewnić się, że ich wtyczka jest zaktualizowana do wersji 3.6.11.
To nie pierwszy raz, gdy w Ninja Forms odkryto bardzo poważną wadę. Około dwa lata temu wykryto, że wszystkie wersje wtyczek do 3.4.24.2 były dotknięte luką CSRF (Cross-Site Request Forgery). Mogło to zostać wykorzystane do przeprowadzenia ataków cross-site scripting (przechowywane XSS) na witryny WordPress użytkownika (otwiera się w nowej karcie), zasadniczo przejmując je.
Przez: BleepingComputer (Otwiera się w nowej karcie)