Срочно! В плагине WordPress обнаружена серьёзная уязвимость: под угрозой миллион сайтов

В плагине WordPress Ninja Forms обнаружены серьёзные недостатки, которые могут привести к захвату сайта. Немедленно обновите ПО. Фото: Pixabay

Первая ошибка позволяет перенаправлять владельцев сайтов в произвольные места, используя функцию wp_safe_redirect. Злоумышленники могут создать ссылку с параметром перенаправления, которая приведёт владельца сайта на вредоносный URL-адрес, указав, что происходит расследование необычного поведения сайта. Этого может быть достаточно, чтобы убедить администратора невольно перейти по вредоносной ссылке.

Вторая уязвимость позволяет злоумышленникам перехватывать почтовый трафик , если у них есть доступ на уровне подписчика или выше. Третий позволяет злоумышленникам получить доступ к центральной панели управления Ninja Forms, получив доступ к ключу аутентификации , а четвёртый недостаток позволяет злоумышленникам отключать OAuth-соединение сайта, а это означает, что он не будет возможности выполнить делегирование доступа.

«Эти недостатки были полностью исправлены в версии 3.4.34.1. Мы рекомендуем пользователям немедленно обновиться до последней доступной версии, которая является версией 3.5.0 на момент публикации этой публикации». — заявила Хлоя Чемберленд, член команды Wordfence Threat Intelligence 

Четырём недостаткам присвоены разные уровни опасности, наиболее серьёзному — 9,9 по шкале CVSS. Однако, учитывая популярность уязвимого плагина, следует как можно скорее устранить даже наименее серьёзную угрозу.

Ninja Forms выпустила исправление для трёх уязвимостей 25 января, а последняя ошибка была исправлена ​​8 февраля.