Критическая уязвимость WordPress-плагина Ninja Forms: разработчики устранили угрозу

Статья также доступна на украинском (перейти к просмотру).

16 июня специалисты по безопасности заметили автоматическое обновление плагина Ninja Forms для CMS WordPress. Это значит, что разработчики плагина заметили уязвимость и устранили ее путём выпуска новой версии. В любом случае ситуация нуждалась в глубоком анализе.

Следует напомнить, что речь идет о конструкторе форм обратной связи для сайтов, который установило более миллиона активных пользователей. Плагин позволяет легко настраивать типовые формы и тем самым улучшать интерфейс сайтов.

Риск полного захвата сайта

Одна из функций Ninja Forms предусматривает добавление групп тегов в формы, автоматически заполняющие значения из других областей WordPress. Речь идет, например, об идентификаторе публикаций и именах пользователей. Именно у этой опции был недостаток, из-за которого злоумышленники могли поражать пользовательские данные и файлы сайта. В общем, это давало им возможность полного увлечения сайта.

Изучая версии плагина к обновлению, эксперты заметили уязвимость части кода, позволявшей не аутентифицированным злоумышленникам вызвать ограниченное количество методов в разных классах Ninja Forms. Один из этих методов сериализировал пользовательский контент (сериализация – процесс преобразования структуры данных, необходимый для передачи объектов в интернете и сохранения их). Это позволяет злоумышленникам запускать выполнение любого кода на сайте или даже удалять файлы из базы данных.

Лучше проверить обновление

Есть свидетельства, что этот недостаток активно эксплуатируется в «дикой природе» (ITW). То есть — уязвимость активна, и она серьезно угрожает персональным данным обычных пользователей. Именно поэтому проблема требует максимального внимания.

Версии плагина, в которых заметили поражение: 3.6-3.6.10, 3.5-3.5.8.3, 3.4-3.4.34.1, 3.3-3.3.21.3, 3.2-3.2.27, 3.1-3.1.9, 3.0-3.4. По классификации CVSS проблема получила 9,8 балла (критический статус).

Известно, что недостаток исправили в версиях плагина 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Скорее всего WordPress принудительно обновил этот программный продукт у всех пользователей. Потому версий с активной угрозой теоретически не осталось. Но эксперты советуют проверить это вручную, ведь автоматическое обновление не всегда проходит успешно. Тем более что до сих пор есть свидетельства об успешных атаках на пораженные сайты.

Приглашаем попробовать наш виртуальный хостинг для WordPress. Хостинг оптимизирован для лучшей работы wordpress-сайтов, имеет систему автоматической установки и дополнительные функции безопасности.

Подписывайтесь на наш телеграм-канал t.me/freehostua, чтобы быть в курсе новых полезных материалов. Смотрите наш канал YouTube на youtube.com/freehostua.