В конце прошлой недели пользователи Ninja Forms получили обязательное обновление безопасности с сайта WordPress.org. Патч закрыл критическую уязвимость PHP Object Injection, эксплуатация которой могла осуществляться удаленно без какой-либо аутентификации. Уязвимость была обнародована на прошлой неделе, после чего сразу же вышел патч 3.6.11. Его бэкпорты охватили версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2 и 3.5.8.4.
Уязвимость была найдена компанией Wordfence. Напомним, что плагин Ninja Forms имеет более 1 млн активных установок. Аналитик безопасности Хлоя Чемберленд рассказала подробнее об уязвимости в уведомлении для пользователей Wordfence:
«Мы выявили уязвимость с инъекцией кода, которая позволяла злоумышленникам без какой-либо аутентификации вызывать ограниченное количество методов в разных классах Ninja Forms, включая метод для десериализации добавляемого пользовательского контента, что давало возможность совершать инъекцию объектов (Object Injection). Злоумышленники могли выполнять произвольный код или удалять любые файлы на сайтах, где присутствовала особая POP-цепочка».
Уязвимость затрагивает функционал Merge Tags, который автоматически подставлял значения из Post ID и имен пользователей. Аналитик Wordfence Рамуэль Галл попытался сформировать рабочий proof of concept. Он обнаружил, что вполне возможно вызывать разные классы Ninja Forms для создания широкого спектра эксплойтов – вплоть до полного захвата сайта. Как сообщила Хлоя, есть явные свидетельства того, что уязвимость уже активно использовалась злоумышленниками.
Принудительные обновления безопасности с WordPress.org используются в редких случаях, когда уязвимость является особенно серьезной и затрагивает большое количество пользователей. 14 июня было обновлено более 680000 сайтов. Опасность уязвимости была оценена в 9,8 баллов по системе Common Vulnerability Scoring System.
Судя по предыдущим идентификаторам CVE для Ninja Forms, это самая серьезная уязвимость за всю историю существования плагина. Как обычно, в логах плагина про серьезность угрозы умалчивается – там она подается просто как «улучшение безопасности».
Никаких постов про обновление безопасности ни в блоге, ни в соцсетях Ninja Forms не было. Пользователи плагина должны убедиться в том, что они получили автоматическое обновление. К слову говоря, 7 июня разработчики Ninja Forms уже исправляли – правда, менее серьезную, но все же — XSS-уязвимость.
Источник: wptavern.com