Perşembe günü yayınlanan bir açıklamaya göre, WordPress platformunu kullanan 700.000’den fazla site, Ninja Forms eklentisindeki kritik bir güvenlik açığını düzeltmek için bu hafta zorla güncellenmek zorunda kaldı. Kusur yakın zamanda Wordfence uzmanları tarafından tespit edildi.
Rapora göre, hata, saldırganların etkilenen sayfada rastgele kod yürütmesine veya hatanın başarılı olması durumunda dosyaları silmesine izin veriyor. Devam eden farklı siber saldırı türlerinde aktif olarak kullanıldığına dair kanıtlar var.
Ayrıca bkz: WhatsApp, Windows İçin Kullanışlı Özelliği Yayınladı!
WordPress kullanıcıları arasında çok popüler olan Ninja Forms, 1 milyondan fazla web sitesinde bulunuyor ve sayfalara iletişim formları eklemeyi mümkün kılar. İhlal, Etiketleri Birleştir özelliğinde tespit edildi, ancak platform daha fazla kötüye kullanımı önlemek için daha fazla ayrıntı sağlamadı.
Araştırmacılar, “Kimliği doğrulanmamış saldırganların çeşitli Ninja Forms sınıflarında sınırlı sayıda yöntemi çağırmasına izin veren bir kod yerleştirme güvenlik açığı keşfettik, buna kullanıcı tarafından sağlanan içeriği serileştirmeyen ve nesne yerleştirmeyle sonuçlanan bir yöntem de dahil” dedi. Sorun, eklenti 3.0 ve sonraki sürümlerini etkiliyor
Web siteleri kontrol edilmeli
Güncelleme otomatik olarak yayınlansa da, tüm WordPress siteleri hata düzeltmeli güvenlik düzeltme ekini almadı. Bu nedenle öneri, Ninja Forms eklentisinin durumunu kontrol etmek için içerik yönetim sistemini kullanan sayfa yöneticileri içindir.
Rapora göre, güvenlik açığı, zorunlu güncellemenin ardından eklentinin 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 ve 3.6.11 sürümlerinde tamamen düzeltildi.