WordPress-sites actief aangevallen via lek in Ninja Forms - File Uploads plug-in

In dit artikel:

Beveiligingsbedrijf Wordfence meldde op 6 april actieve aanvallen op WordPress-sites via een kritische kwetsbaarheid in de betaalde extensie Ninja Forms - File Uploads. In de 24 uur na de publicatie detecteerde Wordfence bijna 900 pogingen om sites via dit lek te compromitteren. De basisplug-in Ninja Forms draait op meer dan 600.000 sites; de File Uploads‑uitbreiding zelf op ruim 50.000.

De zwakke plek zat in het uploadmechanisme: er ontbreekt controle op toegestane bestandstypen en bestandsnamen worden niet geschoond, waardoor kwaadwillenden .php‑bestanden kunnen uploaden en via path traversal in de webroot kunnen plaatsen. Dat maakt het uitvoeren van eigen code op de server (RCE) mogelijk. De ontwikkelaar dichtte het gat in versie 3.3.27, uitgebracht op 16 maart, maar het is onduidelijk hoeveel sites inmiddels zijn bijgewerkt.

Aanbevolen acties voor sitebeheerders: meteen updaten naar de gepatchte versie, controleren op ongewenste uploads of webshells, beperken van uploadtypes en bestandsrechten, en scans/dieper onderzoek uitvoeren als de site verdacht gedrag vertoont.