Sitemap

النينجا أشكال ضعف البرنامج المساعد

قام المكون الإضافي الشهير لـ WordPress Forms Ninja Form مؤخرًا بتحديث المكون الإضافي الخاص به لتصحيح ثغرة خطيرة.تم تصنيف الثغرة الأمنية على أنها شديدة الخطورة لأنها قد تسمح للمهاجم بسرقة وصول مستوى المسؤول والاستيلاء على موقع الويب بالكامل.

ضعف طلب التزوير عبر المواقع

الاستغلال الذي تسبب في ذلك يسمى التزوير عبر الموقع.يستغل هذا النوع من الثغرات الأمنية الافتقار إلى الفحص الأمني ​​العادي الذي يسمح بعد ذلك للمهاجم بتحميل الملفات أو استبدالها وحتى الحصول على وصول إداري.

هذه هي الطريقة التي يصف بها موقع تعداد نقاط الضعف الشائعة هذا النوع من الاستغلال:

"لا يقوم تطبيق الويب بالتحقق بشكل كافٍ أو لا يمكنه التحقق مما إذا كان قد تم تقديم طلب جيد التنسيق وصالح ومتسق عن قصد من قبل المستخدم الذي أرسل الطلب.

... قد يكون من الممكن للمهاجمين خداع العميل لتقديم طلب غير مقصود إلى خادم الويب والذي سيتم التعامل معه على أنه طلب أصيل. ... ويمكن أن يؤدي إلى الكشف عن البيانات أو تنفيذ رمز غير مقصود. "

النينجا تشكل ضعف شديد الخطورة

اكتشف WordFence WordPress Security الاستغلال وأبلغ ناشري المكوّن الإضافي Ninja Forms WordPress على الفور.قامت Ninja Forms بتصحيح الثغرة الأمنية على الفور في غضون 24 ساعة.

وفقًا لـ WordFence ، تم احتواء الثغرة الأمنية في الوضع "القديم" الذي يتحكم في ميزات التصميم التي عادت إلى إصدار أقدم.هذا هو الجزء من الكود الذي تأثر.

هذه هي الطريقة التي يصفها WordFence:

"بينما تستخدم جميع هذه الوظائف فحوصات القدرة ، فشلت اثنتان من الوظائف في التحقق من nonces ، والتي تُستخدم للتحقق من أن الطلب قد تم إرساله عن قصد من قبل مستخدم شرعي.

... يمكن استخدام برنامج نصي ضار تم تنفيذه في متصفح المسؤول لإضافة حسابات إدارية جديدة ، مما يؤدي إلى الاستيلاء الكامل على الموقع ، بينما يمكن استخدام نص برمجي ضار يتم تنفيذه في متصفح الزائر لإعادة توجيه هذا الزائر إلى موقع ضار ".

نينجا أشكال التغيير

قام ناشرو المكون الإضافي Ninja Forms بتحديث البرنامج المساعد الخاص بهم بشكل مسؤول في الوقت المناسب.كما أنهم عكسوا بصدق ما كان يدور حوله التحديث في سجل التغيير الخاص بهم.

سجل التغيير هو شرح لما تغير في تحديث البرنامج.يحاول بعض صانعي المكونات الإضافية إخفاء موضوع التحديث من خلال عدم ذكر نقاط الضعف.

لقد أبلغت Ninja Forms بصدق عن موضوع التحديث.هذا مهم جدًا للناشرين لأنه ينبههم بشأن ما إذا كان يجب تحديث شيء ما على الفور أو ما إذا كان بإمكانه الانتظار.

هذا يدل على أن Ninja Forms هي ناشر مكون WordPress جدير بالثقة ومسؤول.

تحديث نماذج النينجا الآن

يتم حث جميع الناشرين الذين يستخدمون نماذج Ninja على تحديث المكون الإضافي Ninja Forms الخاص بهم على الفور.Ninja Forms الإصدار 3.4.24.2 هو أحدث إصدار.إذا كان لديك إصدار سابق ، فيجب عليك تحديث المكون الإضافي الخاص بك لتجنب هذه الثغرة الخطيرة.

اقرأ تقرير WordFence حول الثغرة الأمنية هنا:

مصححة عالية الخطورة في أشكال النينجا

المزيد من الموارد