Mais de 700 mil sites que utilizam a plataforma WordPress tiveram que ser atualizados à força nesta semana para corrigir uma vulnerabilidade crítica no plugin Ninja Forms, conforme comunicado divulgado na quinta-feira (16). A falha foi detectada recentemente por especialistas do Wordfence.
Segundo o relatório, o erro permite que invasores executem código arbitrário na página afetada ou exclua arquivos, se a exploração do bug for bem sucedida. Há evidências de que ele esteja sendo explorado ativamente em diferentes tipos de ataques cibernéticos em andamento.
Bastante popular entre os usuários do WordPress, o Ninja Forms está presente em mais de 1 milhão de sites, possibilitando a adição de formulários de contato nas páginas. A brecha foi detectada no recurso Merge Tags, mas a plataforma não forneceu maiores detalhes para evitar mais abusos.
O plugin Ninja Forms possui mais de 1 milhão de instalações ativas, segundo o WordPress.Fonte: Unsplash
“Descobrimos uma vulnerabilidade de injeção de código que possibilitou que invasores não autenticados chamassem um número limitado de métodos em várias classes Ninja Forms, incluindo um método que não serializava o conteúdo fornecido pelo usuário, resultando em injeção de objetos”, explicaram os pesquisadores. O problema afeta as versões 3.0 e posteriores do plugin.
Verifique o seu site
Apesar de a atualização ter sido lançada de forma automática, nem todos os sites WordPress receberam o patch de segurança com a correção para o bug. Dessa forma, a recomendação é para que os administradores de páginas que utilizam o sistema de gestão de conteúdo verifiquem a situação do plugin Ninja Forms.
De acordo com o relatório, a vulnerabilidade foi totalmente corrigida nas versões 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11 do plugin, após a atualização forçada. Caso a sua página não tenha recebido o update, é possível atualizá-la manualmente no painel da plataforma.
