WordPress исправил критическую уязвимость, влияющую на плагин Ninja Forms

Поставщик системы управления контентом (CMS) WordPress принудительно обновил более миллиона сайтов, чтобы исправить критическую уязвимость, затрагивающую плагин Ninja Forms.

Группа разведки угроз Wordfence обнаружила недостаток в июне и задокументировала его в бюллетене компании. В документе говорится, что уязвимость внедрения кода позволяет злоумышленникам, не прошедшим проверку подлинности, вызывать ограниченное количество методов в различных классах Ninja Forms, в том числе один, приводящий к внедрению объектов. Это может привести к множеству цепочек эксплойтов из-за различных классов и функций, которые содержит плагин Ninja Forms.

Представитель компании прокомментировал:

«Одна потенциально критическая цепочка эксплойтов, включает использование класса NF_Admin_Processes_ImportForm для удаленного выполнения кода посредством десериализации, хотя на сайте должен быть установлен другой плагин или тема с пригодным для использования гаджетом».

Исследователи также заявили, что есть некоторые доказательства того, что уязвимость активно эксплуатируется в дикой природе. Получив уведомление о проблеме, WordPress выпустил патч, который автоматически применялся к сайтам со следующими версиями плагина: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6. .11.

Поэтому убедитесь, что ваш сайт обновлен до одной из исправленных версий. Компания WordPress заявила, что будет обновлять текст бюллетеня по мере того, как они узнают больше о типах явных цепочек, которые злоумышленники используют, чтобы воспользоваться этой уязвимостью.