WordPress.org força atualização de segurança para vulnerabilidade crítica de formulários Ninja – WP Tavern

No final da semana passada, os usuários do Ninja Forms receberam uma atualização de segurança forçada do WordPress.org para uma vulnerabilidade crítica de injeção de objeto PHP. Essa vulnerabilidade específica pode ser explorada remotamente sem qualquer autenticação. Foi divulgado publicamente na semana passada e corrigido na versão mais recente, 3.6.11. Os patches também foram retroportados para as versões 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2 e 3.5.8.4.

O Wordfence notou uma atualização de segurança retroportada no plug-in do construtor de formulários, que possui mais de um milhão de instalações ativas. A analista de ameaças Chloe Chamberland explicou a vulnerabilidade em um alerta alertando os usuários da empresa:

Descobrimos uma vulnerabilidade de injeção de código que possibilitou que invasores não autenticados chamassem um número limitado de métodos em várias classes Ninja Forms, incluindo um método que desserializava o conteúdo fornecido pelo usuário, resultando em injeção de objeto. Isso pode permitir que invasores executem código arbitrário ou excluam arquivos arbitrários em sites onde uma cadeia POP separada estava presente.

A vulnerabilidade afeta o recurso “Merge Tags” do Ninja Forms que preenche automaticamente valores de Post IDs e nomes de usuário, por exemplo. O analista de ameaças do Wordfence, Ramuel Gall, fez engenharia reversa dos patches da vulnerabilidade para criar uma prova de conceito funcional. Ele descobriu que é possível chamar várias classes de Ninja Forms que podem ser usadas para uma ampla gama de explorações, incluindo o controle completo do site. Chamberland relata que há evidências que sugerem que a vulnerabilidade está sendo explorada ativamente na natureza.

As atualizações de segurança forçadas do WordPress.org são um esforço de mitigação usado em casos raros em que a vulnerabilidade é particularmente grave e afeta um grande número de usuários. Mais de 680.000 sites foram atualizados em 14 de junho. Essa vulnerabilidade de injeção de objeto PHP pontua 9,8 no Common Vulnerability Scoring System, mas ainda não recebeu um ID CVE.

Revendo IDs de CVE anteriores para Ninja Forms, esta é a vulnerabilidade mais grave na história do plugin. O changelog do Ninja Forms não comunica a gravidade da ameaça, categorizando-a como um “aprimoramento de segurança:”

3.6.11 (14 DE JUNHO DE 2022)

Aprimoramentos de segurança
* Aplique uma higienização mais rigorosa para mesclar valores de tags

A Ninja Forms não postou sobre a atualização de segurança em seu blog ou contas de mídia social. O Wordfence planeja atualizar o texto de seu comunicado à medida que a empresa aprende mais sobre como os invasores estão explorando a vulnerabilidade. Os usuários do Ninja Forms devem verificar seus sites para garantir a atualização automática de segurança. Esta atualização vem apenas uma semana depois que o Ninja Forms corrigiu uma vulnerabilidade de scripting entre sites (XSS) armazenada autenticada e menos grave em 7 de junho.

Deixe uma resposta