Kritiek upload-lek in Ninja Forms - File Upload raakt 50.000 WordPress-sites

In dit artikel:

Een kritieke kwetsbaarheid in de betaalde WordPress‑extensie Ninja Forms - File Upload maakt het voor aanvallers mogelijk om kwetsbare sites volledig over te nemen. De fout zat in de uploadfunctie van de add‑on en kon kwaadwillenden in staat stellen webshells (.php) naar de server te plaatsen en zo remote code execution uit te voeren, meldt securitybedrijf Wordfence.

Ninja Forms zelf wordt op meer dan 600.000 WordPress-sites gebruikt; de betaalde File Upload‑uitbreiding staat volgens het artikel op meer dan 50.000 sites, maar het exacte aantal installaties en hoe veel sites de patch al toepasten is onbekend omdat betaalde extensies buiten WordPress.org worden verspreid. Technisch gezien ontbrak er serverzijdige validatie van bestandstypen en bestandsnaam‑sanitatie, waardoor ook path traversal mogelijk werd en uploads in de webroot konden terechtkomen.

Ontwikkelaars brachten versie 3.3.27 uit op 16 maart (drie weken geleden) waarin de kwetsbaarheid is verholpen. Beheerders van WordPress-sites wordt dringend aangeraden direct te updaten; aanvullende voorzorgsmaatregelen zijn het beperken van toegestane bestandsformaten, het uitschakelen van PHP‑uitvoering in uploadmappen en het inzetten van een WAF.