Ми впевнені, що серед наших клієнтів є багато професіоналів IT, які працюють над цікавими проектами. Якщо у Вас виникає бажання розповісти про них, Ви можете розмістити статтю у нашому блозі. А щоб було цікавіше, ми зробили конкурс статей, щомісяця три переможці отримуватимуть призи.
Стаття також доступна російською (перейти до перегляду).
16 червня спеціалісти з безпеки помітили автоматичне оновлення плагіну Ninja Forms для CMS WordPress. Це означає, що розробники плагіну помітили вразливість і усунули її шляхом випуску нової версії. У будь-якому випадку, ситуація потребувала глибокого аналізу.
Варто нагадати, що мова йде про конструктор форм зворотного зв’язку для сайтів, який встановило більше мільйона активних користувачів. Плагін дає можливість легко налаштовувати типові форми і тим самим покращувати інтерфейс сайтів.
Ризик повного захоплення сайту
Одна з функцій Ninja Forms передбачає додавання груп тегів до форм, які автоматично заповнюють значення з інших областей WordPress. Мова йде, наприклад, про ідентифікатори публікацій та імена користувачів. Саме у цій опції був недолік, через який зловмисники могли вражати користувацькі дані і файли сайту. Загалом, це давало їм можливість повного захоплення сайту.
Вивчаючи версії плагіну до оновлення, експерти помітили вразливість частини коду, яка дозволяла неавтентифікованим зловмисникам викликати обмежену кількість методів у різних класах Ninja Forms. Один з цих методів серіалізував користувацький контент (серіалізація — процес перетворення структури даних, необхідний для передавання об’єктів у інтернеті і збереження їх). Це дає можливість зловмисникам запускати виконання будь-якого коду на сайті або навіть видаляти файли з бази даних.
Краще перевірити оновлення
Є свідчення, що цей недолік активно експлуатують в «дикій природі» (ITW). Тобто — вразливість є активною, і вона серйозно загрожує персональним даним звичайних користувачів. Саме тому проблема потребує максимальної уваги.
Версії плагіну, в яких помітили ураження: 3.6-3.6.10, 3.5-3.5.8.3, 3.4-3.4.34.1, 3.3-3.3.21.3, 3.2-3.2.27, 3.1-3.1.9, 3.0-3.0.34.1. За класифікацією CVSS проблема отримала 9,8 бала (критичний статус).
Відомо, що недолік виправили у версіях плагіну 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 та 3.6.11. Скоріше за все, WordPress примусово оновив цей програмний продукт у всіх користувачів. Тому версій з активною загрозою теоретично не залишилося. Але експерти радять перевірити це вручну, адже автоматичне оновлення не завжди проходить успішно. Тим паче, що досі є свідчення про успішні атаки на уражені сайти.
Запрошуємо спробувати наш віртуальний хостинг для WordPress. Хостинг оптимізовано для кращої роботи wordpress-сайтів, має систему автоматичного встановлення, та додаткові функції безпеки.
Підписуйтесь на наш телеграм-канал t.me/freehostua, щоб бути в курсі нових корисних матеріалів. Дивіться наш канал Youtube на youtube.com/freehostua.
|
Дата: 23.06.2022 Автор: Євген Шерман
|
|
Авторам статті важлива Ваша думка. Будемо раді його обговорити з Вами:
comments powered by Disqus