Sitemap

Ninja Forms Plugin-sårbarhed

Populært WordPress Forms plugin Ninja Form opdaterede for nylig deres plugin for at reparere en alvorlig sårbarhed.Sårbarheden vurderes til at være en høj grad af alvorlighed, fordi den kan give en hacker mulighed for at stjæle adgang på administratorniveau og overtage hele webstedet.

Sårbarhed for forfalskning af anmodninger på tværs af websteder

Udnyttelsen, der forårsager dette, kaldes Cross-Site Request Forgery.Denne form for sårbarhed udnytter manglen på et normalt sikkerhedstjek, som så tillader en hacker at uploade eller erstatte filer og endda få administrativ adgang.

Sådan beskriver webstedet Common Weakness Enumeration denne form for udnyttelse:

"Webapplikationen bekræfter ikke, eller kan ikke, i tilstrækkelig grad, om en veludformet, gyldig, konsistent anmodning med vilje blev leveret af den bruger, der sendte anmodningen.

…det kan være muligt for en angriber at narre en klient til at lave en utilsigtet anmodning til webserveren, som vil blive behandlet som en autentisk anmodning. ...og kan resultere i eksponering af data eller utilsigtet kodeudførelse."

Ninja danner sårbarhed i høj grad

WordFence WordPress Security opdagede udnyttelsen og underrettede straks udgiverne om Ninja Forms WordPress-plugin.Ninja Forms rettede straks sikkerhedssårbarheden inden for 24 timer.

Ifølge WordFence var sårbarheden indeholdt i en "legacy"-tilstand, der kontrollerede stylingfunktioner, der vendte tilbage til en ældre version.Det er denne del af koden, der blev påvirket.

Sådan beskriver WordFence det:

"Mens alle disse funktioner brugte kapacitetstjek, kunne to af funktionerne ikke kontrollere nonces, som bruges til at bekræfte, at en anmodning med vilje blev sendt af en legitim bruger.

… et ondsindet script udført i en administrators browser kan bruges til at tilføje nye administrative konti, hvilket fører til fuldstændig overtagelse af webstedet, mens et ondsindet script udført i en besøgendes browser kan bruges til at omdirigere den besøgende til et ondsindet websted."

Ninja Forms Changelog

Udgiverne af Ninja Forms plugin opdaterede ansvarligt deres plugin rettidigt.De afspejlede også ærligt, hvad opdateringen handlede om i deres changelog.

En changelog er en forklaring på, hvad der er ændret i en softwareopdatering.Nogle plugin-producenter forsøger at skjule, hvad opdateringen handlede om, ved ikke at nævne sårbarheder.

Ninja Forms rapporterede ærligt, hvad opdateringen handlede om.Dette er meget vigtigt for udgivere, fordi det advarer dem om, hvorvidt noget skal opdateres med det samme, eller om det kan vente.

Dette viser, at Ninja Forms er en pålidelig og ansvarlig WordPress plugin-udgiver.

Opdater Ninja Forms nu

Alle udgivere, der bruger Ninja Forms, opfordres til straks at opdatere deres Ninja Forms-plugin.Ninja Forms Version 3.4.24.2 er den seneste version.Hvis du har en tidligere version, skal du opdatere dit plugin for at undgå denne alvorlige sårbarhed.

Læs WordFence-rapporten om sårbarheden her:

Højsværhedssårbarhed rettet i Ninja-formularer

Flere ressourcer