Около 1 млн. сайтов на WordPress получили принудительное обновление из-за критической уязвимости

Около 1 млн. сайтов на WordPress получили принудительное обновление из-за критической уязвимости

Плагин для сайтов содержит уязвимость, которая позволяет получить полный контроль над сайтом

image

Сайты на WordPress, использующие плагин для создания форм Ninja Forms (более 1 млн. установок), получили принудительное обновление, которое устраняет критическую уязвимость внедрения кода, затрагивающую несколько выпусков Ninja Forms (начиная с версии 3.0).

По словам аналитика угроз Wordfence Рамуэля Галла , неавторизованный злоумышленник может удаленно вызвать различные классы форм Ninja Forms, используя уязвимость в функции слияния тегов (Merge Tags). В результате киберпреступник может получить полный контроль над уязвимым сайтом. Одна из цепочек эксплойтов допускает удаленное выполнение кода посредством десериализации, что ведет к полной компрометации сайта. Другой вариант атаки позволяет удалить с ресурса произвольные файлы.

Согласно статистике загрузок Ninja Forms , с момента выпуска исправления обновление безопасности было установлено более 730 000 раз. Если плагин не обновился автоматически, пользователь может вручную установить обновление безопасности с панели управления (последняя исправленная версия 3.6.11 ).


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!