WordPress web sitesi oluşturucu için oldukça popüler bir form oluşturucu eklentisi (yeni sekmede açılır) bir milyondan fazla kurulumla, tehdit aktörlerinin web sitesini tamamen ele geçirmesine izin verebilecek yüksek önemdeki bir kusura karşı savunmasızdır.
Ninja Forms kısa süre önce, tersine mühendislik yapıldığında bir kod yerleştirme güvenlik açığı içeren yeni bir yama yayınladı. (yeni sekmede açılır) 3.0’dan sonraki tüm sürümleri etkiledi.
Wordfence tehdit istihbaratı lideri Chloe Chamberland’e göre, seri durumdan çıkarma yoluyla kodu uzaktan yürütmek, tehdit aktörlerinin savunmasız bir siteyi tamamen ele geçirmesine izin veriyor.
Kötüye kullanım kanıtı
Chamberland, “Kimliği doğrulanmamış saldırganların çeşitli Ninja Forms sınıflarında sınırlı sayıda yöntemi çağırmasını mümkün kılan bir kod yerleştirme güvenlik açığını ortaya çıkardık.
“Bu, saldırganların keyfi kod yürütmesine izin verebilir (yeni sekmede açılır) veya ayrı bir POP zincirinin bulunduğu sitelerdeki rastgele dosyaları silin.”
Wordfence ayrıca, işleri daha da kötüleştirmek için kusurun vahşi doğada kötüye kullanıldığını gözlemledi.
Yama, etkilenen bölgelerin çoğuna zorla uygulandı. BleeBilgisayar daha bulundu. Yamanın indirme istatistiklerine bakıldığında, 730.000’den fazla web sitesine yama uygulanmış durumda. Rakam cesaret verici olsa da, yüz binlerce savunmasız site bırakıyor.
Ninja Forms kullanan ve henüz güncellememiş olanlar, düzeltmeyi mümkün olan en kısa sürede manuel olarak uygulamalıdır. Bu, kontrol panelinden yapılabilir ve yöneticiler, eklentilerinin 3.6.11 sürümüne güncellendiğinden emin olmalıdır.
Bu, Ninja Forms’da ilk kez yüksek düzeyde bir kusur bulunmuyor. Yaklaşık iki yıl önce, eklentinin 3.4.24.2’ye kadar olan tüm sürümlerinin Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığından etkilendiği tespit edildi. Bu, kullanıcının WordPress’inde Depolanmış Siteler Arası Komut Dosyası Çalıştırma (Depolanmış XSS) saldırılarını başlatmak için kullanılmış olabilir. (yeni sekmede açılır) siteler, esasen onları ele geçiriyor.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)