Raziskovalci kibernetske varnosti opozarjajo na aktivno izkoriščanje kritične ranljivosti v premium dodatku Ninja Forms File Uploads za WordPress. Varnostna pomanjkljivost napadalcem omogoča nalaganje poljubnih datotek na strežnik brez potrebne avtentikacije, kar lahko vodi do popolnega prevzema sistema.
Ranljivost, ki je prejela oznako CVE-2026-XXXXX, se nahaja v mehanizmu za nalaganje datotek, kjer je bilo odkrito pomanjkljivo preverjanje vnesenih podatkov. Napadalci lahko to šibkost izkoristijo za nalaganje škodljivih datotek, vključno z WebShell skriptami, ki omogočajo izvajanje poljubne kode na strežniku.
Ninja Forms je priljubljen vtičnik za ustvarjanje kontaktnih obrazcev in drugih interaktivnih elementov na WordPress spletnih straneh. Premium dodatek File Uploads razširja osnovno funkcionalnost z možnostjo sprejemanja datotek od uporabnikov. Prav ta funkcionalnost se je izkazala za varnostno ranljivo, saj ni ustrezno preverjala tipa in vsebine naloženih datotek.
Tehnični analitiki poudarjajo, da gre za izjemno nevarno kombinacijo dveh dejavnikov: kritične ranljivosti in odsotnosti potrebe po avtentikaciji. To pomeni, da lahko katerikoli anonimni obiskovalec prizadete spletne strani izkoristi varnostno pomanjkljivost in pridobi popoln nadzor nad WordPress namestitvijo.
Razvijalci vtičnika so že izdali varnostno posodobitev, ki odpravlja to kritično pomanjkljivost. Vsem upraviteljem WordPress spletnih strani z nameščenim Ninja Forms File Uploads dodatkom svetujejo takojšnjo posodobitev na najnovejšo različico. Priporočljivo je tudi pregledati dnevniške datoteke za morebitne znake kompromitacije in preveriti nedavno naložene datoteke na strežniku.
Strokovnjaki za kibernetsko varnost opozarjajo, da so WordPress vtičniki pogost vektor napadov, saj se razvijalci ne držijo vedno najboljših varnostnih praks. Upraviteljem priporočajo redno posodabljanje vseh vtičnikov, odstranjevanje neuporabljenih razširitev in uporabo varnostnih vtičnikov za dodatno zaščito.
Vir: https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/
Originalna objava: 2026-04-07
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.