Разработчики Ninja Forms, популярного плагина, установленного более чем на 500 000 сайтов, выпустили обновление, которое исправляет критическую уязвимость безопасности. Wordfence отмечает, что версии Ninja Forms от 2.9.36 до 2.9.42 содержат в себе многочисленные уязвимости.
Одна из таких уязвимостей позволяет злоумышленнику загружать и выполнять код удаленно на WordPress-сайтах. Единственное, что нужно для эксплуатации уязвимости – это URL целевого сайта, который использует форму, созданную при помощи уязвимой версии Ninja Forms.
Kevin Stover, технический директор Ninja Forms, рассказал о том, как именно они обнаружили уязвимость:
«Примерно две недели назад с нами связался James Golovich, специалист в области безопасности. Он показал нам, как именно можно загрузить произвольный файл, используя тестовый код, который не был удален в процессе сборки плагина Ninja Forms.
Мы обнаружили, что тестовый код был случайно оставлен и в других местах Ninja Forms, поэтому мы немедленно начали работать над исправлением плагина. Как только проблема была решена, мы обратились к разработчикам хранилища WordPress.org с целью начать процесс подготовки к автоматическому обновлению всех пользователей уязвимых версий.
В итоге мы протестировали патч и выкатили версию 2.9.43, а также версию .1 для уязвимых версий 2.9.36 – 2.9.42. Вскоре после этого WordPress.org начал рассылать наши автоматические обновления»
Касательно того, почему не было поста в официальном блоге Ninja Forms о данном обновлении, Stover ответил следующее: «Мы не хотели публично разглашать наличие данной уязвимости, чтобы у нас и у наших пользователей было время для обновления».
«Быстрое выявление уязвимости со стороны James Golovich позволило нам оперативно устранить проблему. Сначала мы выкатили безопасные версии, после чего уже написали об уязвимости на сайте», отметил Stover.
Автоматические обновления начали приходить пользователям еще 3 мая. Если автоматические обновления у вас отключены, мы рекомендуем вам вручную обновиться до последней на данный момент версии 2.9.45. Разработчики Ninja Forms также взаимодействуют со многими крупными хостингами, чтобы гарантировать, что обновление охватило максимальное число сайтов.
Специалисты Wordfence не заметили широкой эксплуатации данной уязвимости, однако ее последствия вполне могут появиться в ближайшие дни в результате публичного раскрытия.
В контексте безопасности возможность загрузки и выполнения кода удаленно являются очень серьезными проблемами. Как говорит сам Golovich, ответственный за выявление уязвимости в Ninja Forms, чаще всего самый уязвимый код представляет собой proof of concept (проверку концепции):
«Уязвимый код, как отметил Kyle Johnson из команды WP Ninjas, представлял собой не реально существующую функцию Ninja Forms, а проверку концепции для будущей бесплатной опции. К сожалению, даже такой код является уязвимым для атак. Это – самая критичная уязвимость, поскольку она позволяет выполнять злоумышленнику любой PHP-код на сайте».
Пользователям рекомендуется как можно быстрее обновиться до стабильной версии плагина.
А я то думаю, чего это боты как угорелые стали искать Ninja Forms на моих WP-сайтах (море 404-ых в логах).
Полностью поддерживаю Вас, тоже давно замечал, но особо значение не давал.
Уже обновил)
На нескольких игровых блогах стоит такая штукенция как Ninja Forms и также аналогичная ситуация. Хорошо разработчики подсуетились и выпустили апдейт, который будем надеяться закроет большинство «дыр».