PSA: Kritikus sebezhetőség javítva a Ninja Forms WordPress Pluginban

2022.06.16. | Exoweb

Felfedeztünk egy kódinjektálási sebezhetőséget, amely lehetővé tette a nem hitelesített támadók számára, hogy meghívjanak korlátozott számú metódust különböző Ninja Forms osztályokban, beleértve egy olyan metódust, amely a felhasználó által megadott tartalmat unserializálta, ami objektum injektálást eredményezett. Ez lehetővé tehette a támadók számára tetszőleges kód futtatását vagy tetszőleges fájlok törlését olyan webhelyeken, ahol külön POP-lánc volt jelen.

Ezt a hibát a 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 és 3.6.11 verzióban már teljes mértékben javították. úgy tűnik, hogy a WordPress kényszerű automatikus frissítést hajtott végre a plugin számára, így az Ön webhelye már a javított verziók valamelyikét használhatja. Ennek ellenére erősen javasoljuk, hogy webhelyét a lehető leghamarabb frissítse a javított verziók egyikére, mivel az automatikus frissítések nem mindig sikeresek.

A teljes cikk itt olvasható (angol nyelven)