Специалисты компании Sucuri обнаружили уязвимость в плагине для WordPress Ninja Forms. Эксперты предупреждают, что все версии Ninja Forms до 2.9.55.2 являются уязвимыми для SQL-инъекций. В настоящее время уязвимость ликвидирована.
По статистике WordPress, плагин Ninja Forms установлен как минимум на 600000 сайтов. С его помощью владельцы интернет-порталов могут создать произвольные веб-формы. Для этой цели в плагине есть удобный drag-and-drop билдер, которые также допускает применение шорткодов.
По словам специалистов, при наличии шорткода в веб-форме сайта злоумышленник может отправлять сформированные специальным образом HTTP POST-запросы и осуществлять SQL-инъекции.
Как утверждают исследователи, чтобы воспользоваться уязвимостью, хакер сначала должен создать учетную запись на целевом сайте. Несмотря на то, что это условие в некоторой степени снижает угрозу, исходящую от выявленной ошибки, нельзя забывать о том, что на многих сайтах посетители имеют возможность регистрироваться, например, для того, чтобы оставлять комментарии.