Сайты на WordPress, использующие плагин для создания форм Ninja Forms (более 1 млн. установок), получили принудительное обновление, которое устраняет критическую уязвимость внедрения кода, затрагивающую несколько выпусков Ninja Forms (начиная с версии 3.0).
По словам аналитика угроз Wordfence Рамуэля Галла , неавторизованный злоумышленник может удаленно вызвать различные классы форм Ninja Forms, используя уязвимость в функции слияния тегов (Merge Tags). В результате киберпреступник может получить полный контроль над уязвимым сайтом. Одна из цепочек эксплойтов допускает удаленное выполнение кода посредством десериализации, что ведет к полной компрометации сайта. Другой вариант атаки позволяет удалить с ресурса произвольные файлы.
Согласно статистике загрузок Ninja Forms , с момента выпуска исправления обновление безопасности было установлено более 730 000 раз. Если плагин не обновился автоматически, пользователь может вручную установить обновление безопасности с панели управления (последняя исправленная версия 3.6.11 ).
Источник: SecurityLab