Как известно, сайты, работающие под управлением WordPress и других популярных и бесплатных CMS, часто становятся целями для атак злоумышленников. В случае WordPress точкой входа в систему, чаще всего, оказываются уязвимости даже не в самом движке, но в его многочисленных плагинах, которые администраторы сайтов так часто забывают обновить. Очередной такой баг был обнаружен 11 августа в широко распространенном плагине Ninja Forms.
Брешь нашли специалисты компании Sucuri, и они предупреждают, что все версии плагина Ninja Forms, вышедшее раньше версии 2.9.55.2, уязвимы для SQL-инъекций.
Согласно официальной статистике, плагин Ninja Forms установлен более чем на 600 000 сайтов. Он позволяет владельцам сайтов создавать произвольные веб-формы, для этого предусмотрен удобный drag-and-drop билдер, допускающий также использование шорткодов.
Специалисты сообщают, что если в веб-форме сайта присутствует шорткод, атакующий может послать сайту кастомный HTTP POST-запрос и осуществить SQL-инъекцию.
По данным исследователей, для эксплуатации бага атакующему сначала нужно будет зарегистрировать аккаунт на сайте жертвы. К счастью, этот нюанс несколько сокращает возможные масштабы обнаруженной проблемы, но стоит помнить о том, что многие сайты разрешают свои посетителям регистрироваться, к примеру, чтобы иметь возможность оставлять комментарии.
В настоящий момент проблема уже устранена. Разработчики Ninja Forms представили исправленную версию плагина (2.9.55.2), и на закрытие бреши им понадобилось всего несколько часов.
«Находить в популярных плагинах уязвимость к SQL-инъекциям стало гораздо труднее, — пишут специалисты Sucuri, — в основном благодаря возрастающей популярности заранее подготовленных выражений вроде $wpdb->prepare()».
