Sitemap

Chyba zabezpečení pluginu Ninja Forms

Populární plugin WordPress Forms Ninja Form nedávno aktualizoval svůj plugin, aby opravoval závažnou chybu zabezpečení.Tato chyba zabezpečení je hodnocena jako vysoce závažná, protože by mohla útočníkovi umožnit ukrást přístup na úrovni správce a převzít kontrolu nad celým webem.

Chyba zabezpečení týkající se padělání požadavků napříč weby

Zneužití, které to způsobuje, se nazývá Cross-Site Request Forgery.Tento druh zranitelnosti využívá nedostatek běžné bezpečnostní kontroly, která pak útočníkovi umožňuje nahrávat nebo nahrazovat soubory a dokonce získat přístup pro správce.

Takto popisuje web Common Weakness Enumeration tento druh exploitu:

„Webová aplikace dostatečně neověřuje nebo nemůže dostatečně ověřit, zda uživatel, který požadavek odeslal, úmyslně poskytl správně zformovaný, platný a konzistentní požadavek.

…může být možné, že útočník oklame klienta, aby provedl neúmyslný požadavek na webový server, který bude považován za autentický požadavek. …a může mít za následek vystavení dat nebo nechtěné spuštění kódu.“

Ninja vytváří vysoce závažnou zranitelnost

WordFence WordPress Security objevil exploit a okamžitě informoval vydavatele pluginu Ninja Forms WordPress.Ninja Forms okamžitě opravila bezpečnostní chybu do 24 hodin.

Podle WordFence byla zranitelnost obsažena v „starším“ režimu, který řídil stylingové funkce, které se vrátily ke starší verzi.Tato část kódu byla ovlivněna.

WordFence to popisuje takto:

„Zatímco všechny tyto funkce používaly kontroly schopností, dvě z nich nedokázaly zkontrolovat nonces, které se používají k ověření, že požadavek byl úmyslně odeslán legitimním uživatelem.

… škodlivý skript spuštěný v prohlížeči správce by mohl být použit k přidání nových účtů správce, což by vedlo k úplnému převzetí webu, zatímco škodlivý skript spuštěný v prohlížeči návštěvníka by mohl být použit k přesměrování tohoto návštěvníka na škodlivý web.“

Ninja Forms Changelog

Vydavatelé pluginu Ninja Forms zodpovědně aktualizovali svůj plugin včas.Ve svém changelogu také poctivě odráželi, o čem aktualizace byla.

Protokol změn je vysvětlení toho, co se změnilo v aktualizaci softwaru.Někteří výrobci pluginů se snaží skrýt, o čem aktualizace byla, tím, že neuvádějí zranitelnosti.

Ninja Forms poctivě informovali o tom, čeho se aktualizace týká.To je pro vydavatele velmi důležité, protože je to upozorní, zda se má něco aktualizovat okamžitě, nebo jestli to může počkat.

To ukazuje, že Ninja Forms je důvěryhodný a zodpovědný vydavatel pluginů WordPress.

Aktualizujte Ninja Forms nyní

Všichni vydavatelé používající Ninja Forms jsou vyzýváni, aby okamžitě aktualizovali svůj plugin Ninja Forms.Ninja Forms verze 3.4.24.2 je nejnovější verze.Pokud máte starší verzi, musíte svůj plugin aktualizovat, abyste se vyhnuli této závažné chybě zabezpečení.

Přečtěte si zprávu WordFence o zranitelnosti zde:

Velmi závažná zranitelnost opravená v Ninja Forms

Další zdroje