WordPress обнови хиляди сайтове заради уязвимост в Ninja Forms
Automatic, компанията зад системата за ръководство WordPress, обнови над един милион WP съоръжения, с цел да ги защищити от офанзиви към накърнимост в известен плъгин, предава Infosecurity-Magazine.
По-рано този месец компанията, доставяща защитни услуги за уеб сайтове и запаси на основата на WordPress, Wordfence, е накърнимост в известния плъгин Ninja Forms накърнимост, която въпреки и не толкоз просто може да се употребява за пробив и завладяване на WordPress инстанции. Освен това към този момент са и регистрирани опити за експлоатиране на уязвимостта. Става дума за неоткрита до момента опция за инжектиране на случаен код, което от своя страна да разреши на консуматор без заложени му права да извика стеснен брой способи в разнообразни Ninja Forms класове, в това число подобен, който може да докара до инжектиране на обект. „Ние считаме, че това може да докара до набор от вериги за експлоатиране, поради разнообразните класове и функционалности, които плъгинът съдържа“, пишат Wordfence.
„Един евентуален вектор за експлоатиране в частност включва потреблението на NF_Admin_Processes_ImportForm класът, с цел да се реализира отдалечено осъществяване на код посредством десериализация, въпреки че в тази ситуация ще е нужно наличието на различен плъгин или тематика, конфигурирани на уеб страницата с подобаващ гаджет“, пишат Wordfence. След като научават за съществуването на казуса и това, че има офанзиви към уязвимостите WordPress издават кръпка към уеб страниците, употребяващи версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11 на Ninja Forms.
WordPress предлагат на всички, които употребяват Ninja Forms да се уверят, че техните уеб сайтове са получили последната версия на плъгина, защото от време на време автоматизираните обновявания може да са несполучливи.
По-рано този месец компанията, доставяща защитни услуги за уеб сайтове и запаси на основата на WordPress, Wordfence, е накърнимост в известния плъгин Ninja Forms накърнимост, която въпреки и не толкоз просто може да се употребява за пробив и завладяване на WordPress инстанции. Освен това към този момент са и регистрирани опити за експлоатиране на уязвимостта. Става дума за неоткрита до момента опция за инжектиране на случаен код, което от своя страна да разреши на консуматор без заложени му права да извика стеснен брой способи в разнообразни Ninja Forms класове, в това число подобен, който може да докара до инжектиране на обект. „Ние считаме, че това може да докара до набор от вериги за експлоатиране, поради разнообразните класове и функционалности, които плъгинът съдържа“, пишат Wordfence.
„Един евентуален вектор за експлоатиране в частност включва потреблението на NF_Admin_Processes_ImportForm класът, с цел да се реализира отдалечено осъществяване на код посредством десериализация, въпреки че в тази ситуация ще е нужно наличието на различен плъгин или тематика, конфигурирани на уеб страницата с подобаващ гаджет“, пишат Wordfence. След като научават за съществуването на казуса и това, че има офанзиви към уязвимостите WordPress издават кръпка към уеб страниците, употребяващи версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 и 3.6.11 на Ninja Forms.
WordPress предлагат на всички, които употребяват Ninja Forms да се уверят, че техните уеб сайтове са получили последната версия на плъгина, защото от време на време автоматизираните обновявания може да са несполучливи.
Източник: kaldata.com
КОМЕНТАРИ