Критическая уязвимость в плагине Ninja Forms

Критическая уязвимость в плагине Ninja Forms

Если у вас есть сайт на WordPress, то скорее всего вы слышали о замечательном плагине Ninja Forms, который позволяет создавать на сайте различные веб-формы. Но сегодня речь пойдёт не о преимуществах этого замечательного плагина, а о недавно обнаруженной критической уязвимости, которая ставит под угрозу более 600 000 сайтов, на которых установлен этот плагин.

Ни для кого не секрет, что сайты работающие под управлением WordPress, да и других популярных бесплатных CMS, довольно часто подвергаются различным атакам злоумышленников. Причём для проникновения в систему сайта, используются не сами движки, а различные баги и недоработки в дополнительных плагинах, которыми так изобилуют CMS.

Очередная такая лазейка была обнаружена в популярном плагине Ninja Forms, специалистами компании Sucuri.

Данная уязвимость плагина позволяет злоумышленнику послать сайту кастомный HTTP POST-запрос и осуществить SQL-инъекцию. Думаю не стоит объяснять, чем это грозит владельцу сайта.

Как можно видеть на странице плагина, Ninja Forms используется более чем на 600 000 сайтов, и все они, чисто гипотетически, могут стать жертвами этой уязвимости.

Ситуацию немного сглаживает тот факт, что для использования этой лазейки, веб-форма на сайте должна быть установлена с помощью шорткода, а злоумышленник, что бы воспользоваться этим багом (в своих коварных интересах) сначала должен зарегистрироваться на сайте. Последнее обстоятельство существенно снижает количество потенциальных жертв этой уязвимости. Хотя, достаточно многие владельцы сайтов оставляют для пользователей возможность регистрации на сайте, например для возможности комментирования записей.

На сегодняшний день разработчики плагина Ninja Forms уже удалили этот баг, и выпустили исправленную версию плагина (2.9.55.2).

Однако не стоит забывать, что предыдущие версии Ninja Forms, которые вышли раньше версии 2.9.55.2, уязвимы для SQL-инъекций. И если вы используете Ninja Forms на своём сайте, то не забудьте обновить его как можно скорее.

Добавить комментарий