تم تحديث أكثر من مليون موقع WordPress قسرًا لتصحيح ثغرة أمنية حرجة في المكون الإضافي
تم تحديث مواقع WordPress التي تستخدم مكونًا إضافيًا مستخدَمًا على نطاق واسع باسم Ninja Forms تلقائيًا لمعالجة ثغرة أمنية خطيرة يشتبه في أنه تم استغلالها بنشاط في البرية.
تم تصنيف المشكلة، التي تتعلق بحالة إدخال رمز، 9.8 من 10 من حيث الخطورة وتؤثر على إصدارات متعددة بدءًا من 3.0. تم إصلاحه في 3.0.34.2 و 3.1.10 و 3.2.28 و 3.3.21.4 و 3.4.34.2 و 3.5.8.4 و 3.6.11.
Ninja Forms هي أداة إنشاء نماذج اتصال قابلة للتخصيص لديها أكثر من مليون عملية تثبيت.
وفقًا لـ Wordfence، فإن الخطأ "أتاح للمهاجمين غير المعتمدين الاتصال بعدد محدود من الأساليب في فئات Ninja Forms المختلفة، بما في ذلك طريقة غير متسلسلة للمحتوى المقدم من المستخدم، مما أدى إلى إدخال كائن."
هذا، ولاحظ Chloe Chamberland من Wordfence ."قد يسمح هذا للمهاجمين بتنفيذ تعليمات برمجية عشوائية أو حذف الملفات التعسفية على المواقع التي توجد بها سلسلة منفصلة [البرمجة الموجهة للخاصية property oriented programming] ،"
قد يسمح الاستغلال الناجح للخطأ للمهاجم بتنفيذ التعليمات البرمجية عن بُعد والاستيلاء بالكامل على موقع WordPress ضعيف.
يُنصح مستخدمي Ninja Forms بالتأكد من تحديث مواقع WordPress الخاصة بهم لتشغيل أحدث إصدار مصحح لمنع أي محاولات استغلال محتملة في البرية.