Een kritieke kwetsbaarheid in de WordPress-plug-in Ninja Forms – File Upload maakt het mogelijk voor aanvallers om kwetsbare websites volledig over te nemen. Deze kwetsbaarheid, die meer dan 50.000 WordPress-sites treft, is onlangs gepatcht, maar veel beheerders moeten hun systemen nog bijwerken.
Details van de kwetsbaarheid
De kwetsbaarheid bevindt zich in de betaalde uitbreiding Ninja Forms – File Upload, die een uploadveld aan formulieren toevoegt. Het ontbreken van ‘file type validation’ stelt aanvallers in staat om diverse bestandstypen, waaronder kwaadaardige .php-bestanden, naar de webserver te uploaden. Bovendien ontbreekt ‘filename sanitization’, wat path traversal mogelijk maakt. Hierdoor kunnen bestanden direct in de webroot directory worden geplaatst, wat resulteert in remote code execution op de server. Dit is een ernstig risico voor de WordPress beveiliging, zoals ook benadrukt door securitybedrijf Wordfence.
Oplossing en aanbevelingen
De kwetsbaarheid is volledig verholpen in versie 3.3.27 van Ninja Forms – File Upload, die op 16 maart is uitgebracht. Hoewel de details van het probleem nu openbaar zijn, is het onbekend hoeveel van de getroffen sites de update al hebben geïnstalleerd. Voor betaalde extensies zoals deze is er geen openbare statistiek over het updategedrag. Beheerders van WordPress-sites die gebruikmaken van deze plug-in worden dringend geadviseerd om zo snel mogelijk te updaten naar de nieuwste versie om hun systemen te beveiligen tegen mogelijke aanvallen.
