Тысячи сайтов WordPress принудительно обновлены из-за опасной уязвимости безопасности

Чрезвычайно популярный плагин для создания форм для конструктора сайтов WordPress с более чем миллионом установок уязвим для серьезной уязвимости, которая может позволить злоумышленникам полностью захватить веб-сайт.
Тысячи сайтов WordPress принудительно обновлены из-за опасной уязвимости безопасности

Тысячи сайтов WordPress принудительно обновлены из-за опасной уязвимости безопасности. Фото: CC0

Ninja Forms недавно выпустила новый патч, который при обратном проектировании включал уязвимость внедрения кода, что затронуло все версии от 3.0 и выше.

По словам руководителя отдела анализа угроз Wordfence Хлои Чемберленд, удаленное выполнение кода посредством десериализации позволяет злоумышленникам полностью захватить уязвимый сайт.

Из сообщения руководителя отдела анализа угроз Wordfence Хлои Чемберленд:

«Мы обнаружили уязвимость внедрения кода, которая позволяла злоумышленникам, не прошедшим проверку подлинности, вызывать ограниченное количество методов в различных классах Ninja Forms, включая метод, который десериализовал пользовательский контент, что приводило к внедрению объектов. Это статья сайтa Star tpack. Это может позволить злоумышленникам выполнить произвольный код или удалять произвольные файлы на сайтах, где присутствовала отдельная цепочка POP».

Что еще хуже, было замечено, что уязвимость используется на практике, утверждают в Wordfence.

Патч был принудительно загружен на большинство затронутых сайтов. Судя по статистике загрузок патча, он уже был применён более чем на 730 тыс. веб-сайтов. Однако сотни тысяч сайтов по-прежнему уязвимы.

Те, кто использует Ninja Forms и еще не обновил его, должны применить исправление вручную как можно скорее. Это можно сделать с панели управления, и администраторы должны убедиться, что их плагин обновлен до версии 3.6.11.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

Удаление участника конференции в Google Meet скоро станет проще
Администрация Zoom закрывает приложение для Chromebook
Уязвимость Microsoft 365 может позволить программам-вымогателям поразить OneDrive и SharePoint
Ещё…