Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
17-Июн-2022 16:30

Цитировать

В WordPress-дополнении Ninja Forms, имеющем более миллиона активных установок, выявлена критическая уязвимость (CVE пока не присвоен), позволяющая постороннему посетителю получить полный контроль над сайтом. Проблема устранена в выпусках 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11. Отмечается, что уязвимость уже используется для совершения атак и для экстренного блокирования проблемы разработчики платформы WordPress инициировали принудительную автоматическую установку обновления на сайты пользователей.
Уязвимость вызвана ошибкой в реализации функциональности Merge Tags, позволяющей неаутентифицированным пользователям вызывать некоторые статические методы из различных классов Ninja Forms (для проверки упоминания методов в передаваемых через Merge Tags данных вызывалась функция is_callable()). В том числе был доступен вызов метода, выполняющего десериализацию содержимого, переданного пользователем. Через передачу специально оформленных сериализированных данных атакующий мог осуществить подстановку своих объектов и добиться выполнения PHP-кода на сервере или удалить произвольные файлы в каталоге с данными сайта.
===========
Источник:
OpenNet.RU
===========

Атака на системы через WordPress-плагин Ninja Forms, насчитывающий более миллиона установок

Похожие новости