Een kritieke kwetsbaarheid in de WordPress-plug-in Ninja Forms - File Upload maakt het mogelijk voor aanvallers om kwetsbare websites volledig over te nemen. De ontwikkelaars hebben drie weken geleden een update voor het probleem uitgebracht. Hoeveel WordPress-sites die inmiddels hebben geïnstalleerd is onbekend. Ninja Forms - File Upload is een betaalde plug-in die op meer dan vijftigduizend websites wordt gebruikt.

Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's.

Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server, aldus securitybedrijf Wordfence.

De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Details over het probleem zijn nu bekendgemaakt. Voor extensies die via WordPress.org worden aangeboden wordt bijgehouden hoeveel sites de update hebben geïnstalleerd. In het geval van betaalde extensies die bedrijven via hun eigen websites aanbieden is deze informatie niet bekend. Beheerders worden opgeroepen om naar de nieuwste versie te updaten mocht dat nog niet zijn gedaan.