Ανακαλύφθηκε ευπάθεια η οποία κάνει χρήση της τεχνικής SQL Injection επηρεάζοντας το Ninja Forms Plugin.
Το πρόβλημα παρουσιάζεται διότι οι παράμετροι που περιλαμβάνονται στο shortcode μπορούν να αλλαχθούν από οποιονδήποτε κακόβουλο χρήστη αρκεί να έχει την δυνατότητα να δημιουργήσει οποιοδήποτε τύπο λογαριασμού στην ιστοσελίδα του θύματος. Κατά συνέπεια, ο χρήστης θα μπορεί να ανακτήσει κωδικούς πρόσβασης(οι οποίοι είναι κωδικοποιημένοι από το wordpress) και ονόματα χρηστών, όπως επίσης να εντοπίσει μυστικά κλειδιά του WordPress.
Περισσότερες τεχνικές λεπτομέρειες για το πρόβλημα μπορείτε να δείτε εδώ
Κυκλοφόρησε Νέα Έκδοση Ninja Forms 2.9.55.2 η οποία διορθώνει το κενό ασφαλείας, προτείνουμε να προβείτε άμεσα σε αναβάθμιση του plugin.