I siti WordPress che utilizzano il popolare Ninja Forms, un plug-in per la creazione di moduli con oltre 1 milione di installazioni attive, sono stati aggiornati forzatamente per risolvere una vulnerabilità di sicurezza critica attivamente sfruttata in natura.
Si tratta di una vulnerabilità di iniezione di codice che consentiva agli attori malevoli non autenticati di chiamare un numero limitato di metodi in varie classi Ninja Forms usando un difetto nella funzione Unisci tag. Incluso anche un metodo che annullava la serializzazione del contenuto fornito dall’utente, risultando in Object Injection.
La vulnerabilità interessa più versioni a partire dalla versione 3.0 e successive e potrebbe consentire ad aggressori non autenticati di eseguire codice arbitrario o eliminare file arbitrari su siti in cui era presente una catena POP separata. Lo sfruttamento riuscito permette agli aggressori di assumere completamente i siti WordPress senza patch tramite diverse catene di sfruttamento, una delle quali consente l’esecuzione di codice in remoto tramite la deserializzazione per assumere completamente il sito Web di destinazione.
Questo difetto è stato completamente corretto nelle versioni 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11. Sembra che WordPress possa aver eseguito un aggiornamento forzato, tuttavia, gli esperti consigliano di assicurarsi il prima possibile che il proprio sito sia stato aggiornato a una delle versioni corrette.
Secondo le statistiche sui download di Ninja Forms, l’aggiornamento di sicurezza è stato implementato oltre 730.000 volte da quando è stata rilasciata la patch.
