Les sites Web WordPress utilisant un plugin largement utilisé nommé Ninja Forms ont été mis à jour automatiquement pour corriger une vulnérabilité de sécurité critique qui est soupçonnée d’avoir été activement exploitée dans la nature.
Le problème, qui concerne un cas d’injection de code, est noté 9,8 sur 10 pour la gravité et affecte plusieurs versions à partir de la 3.0. Il a été corrigé dans 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 et 3.6.11.
Ninja Forms est un constructeur de formulaire de contact personnalisable qui compte plus d’un million d’installations.
Selon Wordfence, le bogue “a permis à des attaquants non authentifiés d’appeler un nombre limité de méthodes dans diverses classes Ninja Forms, y compris une méthode qui désérialisait le contenu fourni par l’utilisateur, entraînant l’injection d’objets”.

“Cela pourrait permettre aux attaquants d’exécuter du code arbitraire ou de supprimer des fichiers arbitraires sur des sites où un [property oriented programming] chaîne était présente”, Chloe Chamberland de Wordfence c’est noté.
L’exploitation réussie de la faille pourrait permettre à un attaquant d’exécuter du code à distance et de prendre complètement le contrôle d’un site WordPress vulnérable.
Il est conseillé aux utilisateurs de Ninja Forms de s’assurer que leurs sites WordPress sont mis à jour pour exécuter la dernière version corrigée afin d’empêcher toute tentative d’exploitation possible dans la nature.



