Създателите на Ninja Forms, плъгин за WordPress с над един милион инсталации, алармираха, че са издали нова версия на разширението, в която е запушена критична уязвимост. Бъде ли експлоатирана успешна, атакуващата страна може да инжектира зловреден код и да поеме контрола над WP инсталацията. Уязвимостта засяга всички версии на Ninja Forms до версия 3.4.24.2.

Уязвимостта може да бъде експлоатирана, ако администраторът на уебресурса кликне върху специално подготвен за целта линк, който на свой ред ще инжектира JavaScript код като новимпортирана контактна форма. Bleeping Computer напомнят, че Ninja Forms представлява инструмент за създаването на формуляри, който позволява на WP потребителите да създават сложни формуляри за броени минути чрез лесен за използване редактор.

Атакуващата страна може да използва за своите цели вградената функционалност на плъгина и да замести всички съществуващи форми в сайта със зловредни, което е описано от Wordfence, които се натъкват на уязвимостта и първи докладват на поддържащите Ninja Forms. За тази цел, хакерите могат да компрометират функцията ninja_forms_ajax_import_form AJAX, добавена от legacy режима, който спомага за връщане към стилове и форми, достъпни в по-стари версии на плъгина.. Тази функция не проверява дали заявката идва от легитимен потребител и по този начин е възможно да бъде изпратена заявка, която да изглежда така сякаш идва от администраторска сесия, след като са кликнали върху споменатата връзка и внесли форми, съдържащи зловредния JavaScript код.

Уязвимостта е докладвана на 27-ми и създателят на плъгина е реагирал след по-малко от ден, издавайки нова версия на Ninja Forms. Три дни по-късно, споделят от Wordfence, една малка част от ресурсите са наложили обновлението – около 170 000.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари