Các trang web tạo trên nền tảng WordPress sử dụng plugin Ninja Forms gần đây đã được cập nhật tự động để vá lỗ hổng nghiêm trọng. Lỗ hổng được cho là đã bị khai thác trong thực tế.
Lỗ hổng, một khi bị khai thác thành công có thể chèn mã (code injection), được xếp hạng 9,8 trên 10 về mức độ nghiêm trọng và ảnh hưởng đến nhiều phiên bản bắt đầu từ 3.0. Lỗ hổng đã được vá trong các phiên bản 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 và 3.6.11.
Ninja Forms là một plugin hỗ trợ tạo biểu mẫu liên hệ tùy chỉnh phổ biến, có hơn 1 triệu lượt cài đặt.
Theo Wordfence, lỗ hổng “tạo điều kiện cho những kẻ tấn công không xác thực có thể gọi một số method hạn chế trong các class Ninja Forms khác nhau, bao gồm cả một method unserialize do người dùng cung cấp, dẫn đến Object Injection”.
Điều này có thể cho phép những kẻ tấn công thực thi mã tùy ý hoặc xóa các tệp tùy ý trên các trang web”, Chloe Chamberland, chuyên gia của Wordfence lưu ý.
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa và chiếm đoạt hoàn toàn một trang web WordPress sử dụng plugin tồn tại lỗ hổng.
Người dùng plugin Ninja Forms cho các trang web sử dụng WordPress nên kiểm tra lại phiên bản hiện tại xem đã được cập nhật bản vá hay chưa để tránh bị khai thác.
Nguồn Thehackernews