Các khai thác được phát hiện trong plugin Ninja Forms dành cho WordPress, được cài đặt trên hơn một triệu trang web, có thể làm cho hacker có toàn quyền truy cập trang web nếu không được vá.
Wordfence đã phát hiện tổng cộng bốn lỗ hổng trong plugin Ninja Forms WordPress có thể cho phép những kẻ tấn công:
- Chuyển hướng quản trị viên trang đến các vị trí ngẫu nhiên.
- Cài đặt một plugin có thể được sử dụng để chặn tất cả lưu lượng thư.
- Truy xuất Khóa kết nối Ninja Form OAuth được sử dụng để thiết lập kết nối với bảng điều khiển quản lý trung tâm Ninja Forms.
- Đánh lừa quản trị viên trang web thực hiện một hành động có thể ngắt kết nối OAuth của trang web.
Những lỗ hổng này có thể dẫn đến việc những kẻ tấn công chiếm quyền kiểm soát trang web và thực hiện bất kỳ hành động độc hại nào. Do mức độ nghiêm trọng của việc khai thác, bạn nên cập nhật plugin ngay lập tức. Kể từ ngày 8 tháng 2, tất cả các lỗ hổng đều được vá trong phiên bản 3.4.34.1 của plugin Ninja Forms.
Ninja Forms là một plugin phổ biến cho phép chủ sở hữu trang web xây dựng các biểu mẫu liên hệ bằng cách sử dụng giao diện kéo và thả không phức tạp. Nó hiện có hơn 1 triệu lượt cài đặt đang hoạt động. Nếu bạn có biểu mẫu liên hệ trên trang web của mình và bạn không chắc nó được xây dựng bằng plugin nào, bạn nên kiểm tra xem liệu bạn có đang sử dụng Ninja Forms hay không trong phần Plugins của WordPress.
Khi thêm một plugin mới vào trang web của bạn, bạn nên kiểm tra thời điểm nó được cập nhật lần cuối. Đó là một dấu hiệu tốt khi các plugin đã được cập nhật trong những tuần hoặc tháng gần đây.
