WordPress corrige falha que afetava mais de 700 mil sites

Mais de 700 mil sites que utilizam a plataforma WordPress tiveram que ser atualizados à força nesta semana para corrigir uma vulnerabilidade crítica no plugin Ninja Forms, conforme comunicado divulgado na quinta-feira (16). A falha foi detectada recentemente por especialistas do Wordfence.

Segundo o relatório, o erro permite que invasores executem código arbitrário na página afetada ou exclua arquivos, se a exploração do bug for bem sucedida. Há evidências de que ele esteja sendo explorado ativamente em diferentes tipos de ataques cibernéticos em andamento.

Bastante popular entre os usuários do WordPress, o Ninja Forms está presente em mais de 1 milhão de sites, possibilitando a adição de formulários de contato nas páginas. A brecha foi detectada no recurso Merge Tags, mas a plataforma não forneceu maiores detalhes para evitar mais abusos.

O plugin Ninja Forms possui mais de 1 milhão de instalações ativas, segundo o WordPress.

“Descobrimos uma vulnerabilidade de injeção de código que possibilitou que invasores não autenticados chamassem um número limitado de métodos em várias classes Ninja Forms, incluindo um método que não serializava o conteúdo fornecido pelo usuário, resultando em injeção de objetos”, explicaram os pesquisadores. O problema afeta as versões 3.0 e posteriores do plugin.

Verifique o seu site

Apesar de a atualização ter sido lançada de forma automática, nem todos os sites WordPress receberam o patch de segurança com a correção para o bug. Dessa forma, a recomendação é para que os administradores de páginas que utilizam o sistema de gestão de conteúdo verifiquem a situação do plugin Ninja Forms.

De acordo com o relatório, a vulnerabilidade foi totalmente corrigida nas versões 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11 do plugin, após a atualização forçada. Caso a sua página não tenha recebido o update, é possível atualizá-la manualmente no painel da plataforma.