Situs web WordPress menggunakan plugin yang banyak digunakan bernama Ninja Forms telah diperbarui secara otomatis untuk memulihkan kerentanan keamanan kritis yang diduga telah dieksploitasi secara aktif di alam liar.
Masalah, yang berkaitan dengan kasus injeksi kode, dinilai 9,8 dari 10 untuk tingkat keparahan dan mempengaruhi beberapa versi mulai dari 3.0. Ini telah diperbaiki di 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, dan 3.6.11.
Ninja Forms adalah pembuat formulir kontak yang dapat disesuaikan yang memiliki lebih dari 1 juta instalasi.
Menurut Wordfence, bug “memungkinkan penyerang yang tidak diautentikasi untuk memanggil sejumlah metode terbatas di berbagai kelas Ninja Forms, termasuk metode yang tidak membuat serial konten yang disediakan pengguna, menghasilkan Object Injection.”
“Ini dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer atau menghapus file arbitrer di situs yang [property oriented programming] rantai hadir,” kata Chloe Chamberland dari Wordfence.
Eksploitasi cacat yang berhasil dapat memungkinkan penyerang mencapai eksekusi kode jarak jauh dan sepenuhnya mengambil alih situs WordPress yang rentan.
Pengguna Formulir Ninja disarankan untuk memastikan bahwa situs WordPress mereka diperbarui untuk menjalankan versi patch terbaru untuk mencegah kemungkinan upaya eksploitasi di alam liar.