По данным издания Search Engine Journal, очередной плагин для WordPress подверг серьезной угрозе миллионы сайтов по всему миру.
На этот раз жертвой стали пользователи плагина Ninja Forms. Это дополнение позволяет добавлять на сайт различные формы, не используя при этом исходный код. Все формы можно разместить на странице при помощи встроенного редактора блоков.
Как рассказали специалисты Wordfence, обнаружившие проблему, недавно разработчики плагина «залатали» две бреши в безопасности, которые могли привести к полной потере контроля над сайтом.
Злоумышленники могли использовать уязвимость в API WordPress и полностью перехватить управление любым ресурсом, где применяется дополнение Ninja Forms. Технически, уязвимость позволяла любому зарегистрированному пользователю (даже без привилегий администратора) экспортировать с сайта любой контент, который на нем когда-либо публиковался. К появлению столь серьезной угрозы снова привела проблема в REST API WordPress. Схожие ошибки стали появляться с завидной регулярностью.
Вторая уязвимость позволяет организовывать эффективные фишинговые атаки на сайты с WordPress и Ninja Forms.
Обе ошибки уже устранены, поэтому специалисты по безопасности рекомендуют обновить Ninja Forms как можно скорее, чтобы избежать атак со стороны хакеров.