WordPress.org принудительно обновляет систему безопасности для критических уязвимостей Ninja Forms

В конце прошлой недели пользователи Ninja Forms получили принудительное обновление безопасности от WordPress.org для критической уязвимости PHP Object Injection. Эта конкретная уязвимость может быть использована удаленно без какой-либо аутентификации. Он был обнародован на прошлой неделе и исправлен в последней версии 3.6.11. Патчи также были перенесены на версии 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2 и 3.5.8.4.

Wordfence заметил обратное обновление безопасности в плагине для создания форм, который имеет более миллиона активных установок. Аналитик угроз Хлоя Чемберленд объяснила уязвимость в бюллетене , предупреждающем пользователей компании:

Мы обнаружили уязвимость внедрения кода, которая позволяла злоумышленникам, не прошедшим проверку подлинности, вызывать ограниченное количество методов в различных классах Ninja Forms, включая метод, который десериализовал пользовательский контент, что приводило к внедрению объектов. Это могло позволить злоумышленникам выполнить произвольный код или удалить произвольные файлы на сайтах, где присутствовала отдельная цепочка POP.

Уязвимость затрагивает функцию «Объединить теги» в Ninja Forms, которая, например, автоматически подставляет значения из идентификаторов сообщений и имен пользователей. Аналитик угроз Wordfence Рамуэль Галл перепроектировал исправления уязвимости, чтобы создать работающее доказательство концепции. Он обнаружил, что можно вызывать различные классы Ninja Forms, которые можно использовать для широкого спектра эксплойтов, включая полный захват сайта. Чемберленд сообщает, что есть доказательства того, что уязвимость активно эксплуатируется в дикой природе.

Принудительные обновления безопасности WordPress.org — это попытка смягчения последствий, используемая в редких случаях, когда уязвимость особенно серьезна и затрагивает большое количество пользователей. 14 июня было обновлено более 680 000 сайтов. Эта уязвимость, связанная с внедрением объектов PHP, получила 9,8 балла в Общей системе оценки уязвимостей, но ей еще не присвоен идентификатор CVE.

Судя по предыдущим идентификаторам CVE для Ninja Forms, это самая серьезная уязвимость в истории плагина. Журнал изменений Ninja Forms не сообщает о серьезности угрозы, классифицируя ее как «улучшение безопасности»:

3.6.11 (14 ИЮНЯ 2022 г.)

Улучшения безопасности
* Применяйте более строгую санитизацию для слияния значений тегов.

Ninja Forms не сообщала об обновлении безопасности в своем блоге или аккаунтах в социальных сетях. Wordfence планирует обновлять текст своего бюллетеня по мере того , как компания узнает больше о том, как злоумышленники используют уязвимость. Пользователи Ninja Forms должны проверить свои сайты, чтобы убедиться, что автоматическое обновление безопасности прошло. Это обновление появилось всего через неделю после того, как 7 июня Ninja Forms исправила менее серьезную уязвимость с проверкой подлинности хранимых межсайтовых сценариев (XSS).