Automatic, компанията зад системата за управление WordPress, обнови над един милион WP инсталации, за да ги предпази от атаки към уязвимост в популярен плъгин, предава Infosecurity-Magazine.
По-рано този месец компанията, доставяща защитни услуги за сайтове и ресурси на основата на WordPress, Wordfence, е открила уязвимост в популярния плъгин Ninja Forms уязвимост, която макар и не толкова просто може да се използва за пробив и превземане на WordPress инстанции. Освен това вече са и регистрирани опити за експлоатиране на уязвимостта. Става дума за неоткрита досега възможност за инжектиране на произволен код, което от своя страна да позволи на потребител без зададени му права да извика ограничен брой методи в различни Ninja Forms класове, включително такъв, който може да доведе до инжектиране на обект. „Ние смятаме, че това може да доведе до набор от вериги за експлоатиране, заради разнообразните класове и функции, които плъгинът съдържа“, пишат Wordfence.
„Един потенциален вектор за експлоатиране в частност включва използването на NF_Admin_Processes_ImportForm класът, за да се постигне отдалечено изпълнение на код чрез десериализация, макар че в случая ще е нужно присъствието на друг плъгин или тема, инсталирани на сайта с подходящ гаджет“, пишат Wordfence. След като научават за наличието на проблема и това, че има атаки към уязвимостите WordPress издават кръпка към сайтовете, използващи версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11 на Ninja Forms.
WordPress препоръчват на всички, които използват Ninja Forms да се уверят, че техните сайтове са получили последната версия на плъгина, тъй като понякога автоматичните обновявания може да са неуспешни.
