Обновление Ninja Forms устраняет несколько критических уязвимостей в безопасности плагина

Ninja Forms, популярный WordPress плагин, набравший более 500 тыс. активных установок, буквально на днях получил новое обновление, которое устраняет критическую уязвимость в системе безопасности. Сайт Wordfence сообщает, что Ninja Forms версии 2.9.36 до 2.9.42 содержат даже несколько уязвимостей.

Одна из уязвимостей позволяет злоумышленникам загружать и выполнять код удаленно на сайтах WordPress. Единственная информация, необходимая для использования этой уязвимости, это URL целевого сайта, который использует указанные версии Ninja Forms.

Кевин Стовер, технический директор компании, разрабатывающей Ninja Forms, коротко рассказал, как они обнаружили эту уязвимость:

«Около двух недель назад, мы связались с исследователем безопасности, Джеймсом Голович, по поводу загрузки файлов в Ninja Forms. Он продемонстрировал, что можно загрузить произвольный файл в плагин, используя тестовый код, который не был удален во время сборки готового релиза.

Мы поняли, что тестовый код использован и в других областях плагина, и сразу же начали работать над решением этой проблемы. После чего, начали процесс обновления пострадавших версий».

Автоматическое обновление плагина Ninja Forms началось 3 мая. Если у вас отключено авто обновление, настоятельно рекомендуется сделать его вручную. Пока, Wordfence не обнаружил широкого распространения этого эксплойта, но ситуация может сильно измениться в ближайшие несколько дней, поскольку его детали распространяются в интернете.