Scoperta grave vulnerabilità nel plugin Ninja Form

Un paio di volte l’anno assistiamo all’insorgere di gravi vulnerabilità in quelche plugin di wordpress. Questa è, purtroppo, una di quelle volte.

Si tratta di una vulnerabilità segnalata da Wordfence, plugin per la sicurezza di WordPress, che affligge uno dei plugin per creare form di contatto più utilizzati: Ninja Forms.

Precisamente Ninja Forms che va dalla versione 2.9.36 alla 2.9.42. In realtà di vulnerabilità ne sono state scoperte piu di una ma la più eclatante è quella che permette ad un “attaccante” di caricare ed eseguire una shell su siti WordPress (un attacco di tipo exploit).

L’unica informazione che esige l’exploit  è un URL sul sito che ha una forma tipo “powered by Ninja Forms versione 2.9.36″….. fino alla 2.9.42.

Ninja Forms ha oltre 500.000 installazioni attive, per cui l’impatto di questa vulnerabilità è parecchio forte.

In queste ore i tecnici di Wordfence stanno monitorando gli attacchi in tempo reale. Si aspettiano che entro 48 ore si propagheranno degli attacchi diffusi che sfruttano questa falla di sicurezza.

WordPress.org ha già rilasciato un aggiornamento automatizzato per il plugin. Si è visto che questo aggiornamento sta avendo l’effetto sperato, quello di neutralizzare questa falla di Ninja Forms.

Questa vulnerabilità continuerà però ad esistere in quei siti che non sono stati aggiornati dai loro proprietari e dove l’aggiornamento automatico è disattivato.

Cosa fare?

Aggiornare Ninja Forms subito, almeno alla versione 2.9.45.

Aggiornare il proprio plugin di sicurezza installato sul sito (wordfence, ithemes, aiowps….o quello che avete).

Verificare che il sito non sia già stato compromesso.

Se avete Ninja Forms installato e non avete un plugin per la sicurezza di WordPress, aggiornate Ninja Forms, installate un plugin di sicurezza ed eseguite subito una scansione.

È possibile leggere i dettagli sulla vulnerabilità scoperta su Ninja Forms andando al sito pritect.net.

AD

About the author

Flavio

Mi trovo nel campo del web dal 2006. Nel tempo mi sono specializzato soprattutto nell’indicizzazione,  nel posizionamento di siti internet e nell’utilizzo dei social media principali a fini di marketing.

Be the first to comment

Leave a comment

Your email address will not be published.


*


*