Ninja Forms adlı yaygın olarak kullanılan bir eklenti kullanan WordPress web siteleri, vahşi ortamda aktif olarak istismar edildiğinden şüphelenilen kritik bir güvenlik açığını gidermek için otomatik olarak güncellendi.
Bir kod yerleştirme durumuyla ilgili olan sorun, önem derecesi açısından 10 üzerinden 9,8 olarak derecelendirilmiştir ve 3.0’dan başlayarak birden çok sürümü etkiler. 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 ve 3.6.11’de düzeltilmiştir.
Ninja Formları bir özelleştirilebilir iletişim formu oluşturucu 1 milyondan fazla kuruluma sahip.
Wordfence’e göre, hata “kimliği doğrulanmamış saldırganların çeşitli Ninja Forms sınıflarında sınırlı sayıda yöntemi çağırmasını mümkün kıldı, buna kullanıcı tarafından sağlanan içeriği seri hale getirmeden Nesne Enjeksiyonu ile sonuçlanan bir yöntem de dahil.”
“Bu, saldırganların rastgele kod yürütmesine veya ayrı bir sitede rastgele dosyaları silmesine izin verebilir. [property oriented programming] zincir mevcuttu,” Wordfence’den Chloe Chamberland kayıt edilmiş.
Kusurdan başarılı bir şekilde yararlanılması, bir saldırganın uzaktan kod yürütmesine ve savunmasız bir WordPress sitesini tamamen ele geçirmesine izin verebilir.
Ninja Forms kullanıcılarının, vahşi doğada olası herhangi bir istismar girişimini önlemek için WordPress sitelerinin en son yamalı sürümü çalıştıracak şekilde güncellendiğinden emin olmaları önerilir.
