Ein äußerst beliebtes Form-Builder-Plug-in für den WordPress-Website-Builder (Wird in einem neuen Tab geöffnet) mit über einer Million Installationen ist anfällig für einen schwerwiegenden Fehler, der es Angreifern ermöglichen könnte, die Kontrolle über die gesamte Website zu übernehmen.
Ninja Forms hat kürzlich einen neuen Patch veröffentlicht, der beim Reverse Engineering eine Code-Injection-Schwachstelle enthielt (wird in einem neuen Tab geöffnet), die alle Versionen ab Version 3.0 betraf.
Laut Chloe Chamberland, Threat Intelligence Manager bei Wordfence, ermöglicht die Remote-Code-Ausführung durch Deserialisierung Hackern, die volle Kontrolle über eine anfällige Website zu erlangen.
Beweise für Missbrauch
„Wir haben eine Code-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglichte, eine begrenzte Anzahl von Methoden für verschiedene Ninja Forms-Klassen aufzurufen, einschließlich einer Methode, die vom Benutzer bereitgestellte Inhalte deserialisierte, was zu einer Objekt-Injection führte“, sagte Chamberland.
„Dies könnte es Angreifern ermöglichen, beliebigen Code auszuführen – wird in einem neuen Tab geöffnet – oder beliebige Dateien auf Websites zu löschen, auf denen eine andere POP-Zeichenfolge vorhanden war.“
Um die Sache noch schlimmer zu machen, wurde beobachtet, dass der Fehler in freier Wildbahn missbraucht wurde, wie Wordfence entdeckte.
Der Patch wurde gewaltsam auf die meisten betroffenen Websites übertragen, wie BleepingComputer entdeckte. Betrachtet man die Patch-Download-Statistiken, so wurden bereits mehr als 730 Websites gepatcht. Obwohl die Zahl ermutigend ist, sind immer noch Hunderttausende von Websites anfällig.
Diejenigen, die Ninja Forms verwenden und noch nicht aktualisiert haben, sollten den Patch so schnell wie möglich manuell anwenden. Dies kann über das Dashboard erfolgen und Administratoren müssen sicherstellen, dass ihr Plugin auf Version 3.6.11 aktualisiert ist.
Dies ist nicht das erste Mal, dass ein sehr schwerwiegender Fehler in Ninja Forms entdeckt wurde. Vor etwa zwei Jahren wurde festgestellt, dass alle Versionen des Plugins bis 3.4.24.2 von der Schwachstelle Cross-Site Request Forgery (CSRF) betroffen sind. Dies hätte verwendet werden können, um gespeicherte Cross-Site-Scripting-Angriffe (XSS gespeichert) auf die WordPress-Sites des Benutzers (wird in einem neuen Tab geöffnet) zu starten und sie im Wesentlichen zu übernehmen.
Über: BleepingComputer (Öffnet in einem neuen Tab)