Hàng triệu trang web WordPress bị ép cập nhật để vá lỗ hổng bảo mật nghiêm trọng trong Plugin

Các trang web WordPress sử dụng plugin phổ biến có tên Ninja Forms đã được cập nhật tự động để khắc phục lỗ hổng bảo mật nghiêm trọng bị nghi ngờ là đã bị khai thác tích cực.

Sự cố liên quan đến trường hợp chèn mã, được xếp hạng 9,8 trên 10 về mức độ nghiêm trọng và ảnh hưởng đến nhiều phiên bản bắt đầu từ 3.0. Nó đã được sửa trong 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 và 3.6.11.

Ninja Forms là một trình tạo biểu mẫu liên hệ có thể tùy chỉnh có hơn 1 triệu lượt cài đặt.

Theo Wordfence, lỗi này cho phép những kẻ tấn công không được xác thực có thể gọi một số phương thức hạn chế trong các lớp Ninja Forms khác nhau, bao gồm cả một phương thức chưa được công nghệ hóa nội dung do người dùng cung cấp.

“Điều này có thể cho phép những kẻ tấn công thực thi mã tùy ý hoặc xóa các tệp tùy ý trên các trang web có chuỗi [lập trình hướng thuộc tính] riêng biệt”, Chloe Chamberland của Wordfence lưu ý.

Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa và chiếm đoạt hoàn toàn một trang WordPress dễ bị tấn công.

Người dùng Ninja Forms nên đảm bảo rằng các trang web WordPress của họ được cập nhật để chạy phiên bản vá mới nhất để ngăn chặn bất kỳ nỗ lực khai thác nào có thể xảy ra trong tự nhiên.

Theo TheHackerNews