Sitemap

Sicherheitslücke im Ninja Forms-Plug-in

Das beliebte WordPress-Formular-Plugin Ninja Form hat kürzlich sein Plugin aktualisiert, um eine schwerwiegende Schwachstelle zu beheben.Die Schwachstelle wird als hoch eingestuft, da sie es einem Angreifer ermöglichen könnte, den Zugriff auf Administratorebene zu stehlen und die gesamte Website zu übernehmen.

Schwachstelle Cross-Site Request Forgery

Der dafür verantwortliche Exploit heißt Cross-Site Request Forgery.Diese Art von Schwachstelle nutzt das Fehlen einer normalen Sicherheitsprüfung aus, die es einem Angreifer ermöglicht, Dateien hochzuladen oder zu ersetzen und sogar administrativen Zugriff zu erlangen.

So beschreibt die Website Common Weakness Enumeration diese Art von Exploit:

„Die Webanwendung kann oder kann nicht ausreichend überprüfen, ob eine wohlgeformte, gültige, konsistente Anfrage von dem Benutzer, der die Anfrage gestellt hat, absichtlich gestellt wurde.

… es einem Angreifer möglich sein könnte, einen Client dazu zu bringen, eine unbeabsichtigte Anfrage an den Webserver zu stellen, die als authentische Anfrage behandelt wird. …und kann zur Offenlegung von Daten oder zur unbeabsichtigten Ausführung von Code führen.“

Ninja bildet Sicherheitslücke mit hohem Schweregrad

WordFence WordPress Security entdeckte den Exploit und benachrichtigte sofort die Herausgeber des Ninja Forms WordPress-Plugins.Ninja Forms hat die Sicherheitslücke sofort innerhalb von 24 Stunden gepatcht.

Laut WordFence war die Schwachstelle in einem „Legacy“-Modus enthalten, der Styling-Funktionen kontrollierte, die auf eine ältere Version zurückgesetzt wurden.Dieser Teil des Codes war betroffen.

So beschreibt es WordFence:

„Während alle diese Funktionen Fähigkeitsprüfungen verwendeten, konnten zwei der Funktionen keine Nonces prüfen, die verwendet werden, um zu überprüfen, ob eine Anfrage absichtlich von einem legitimen Benutzer gesendet wurde.

… ein bösartiges Skript, das im Browser eines Administrators ausgeführt wird, verwendet werden könnte, um neue Administratorkonten hinzuzufügen, was zu einer vollständigen Übernahme der Website führt, während ein bösartiges Skript, das im Browser eines Besuchers ausgeführt wird, dazu verwendet werden könnte, diesen Besucher auf eine bösartige Website umzuleiten.“

Ninja Forms-Änderungsprotokoll

Die Herausgeber des Ninja Forms-Plugins haben ihr Plugin verantwortungsbewusst zeitnah aktualisiert.Sie haben auch ehrlich in ihrem Änderungsprotokoll wiedergegeben, worum es bei dem Update ging.

Ein Änderungsprotokoll ist eine Erläuterung dessen, was sich in einem Software-Update geändert hat.Einige Plugin-Hersteller versuchen zu verbergen, worum es bei dem Update ging, indem sie Schwachstellen nicht erwähnen.

Ninja Forms berichtete ehrlich, worum es bei dem Update ging.Dies ist für Publisher sehr wichtig, da es sie darauf hinweist, ob etwas sofort aktualisiert werden sollte oder warten kann.

Dies zeigt, dass Ninja Forms ein vertrauenswürdiger und verantwortungsbewusster Herausgeber von WordPress-Plugins ist.

Aktualisieren Sie Ninja Forms jetzt

Alle Publisher, die Ninja Forms verwenden, werden dringend gebeten, ihr Ninja Forms-Plug-in sofort zu aktualisieren.Ninja Forms Version 3.4.24.2 ist die neueste Version.Wenn Sie eine frühere Version haben, müssen Sie Ihr Plugin aktualisieren, um diese schwerwiegende Schwachstelle zu vermeiden.

Lesen Sie hier den WordFence-Bericht über die Schwachstelle:

Sicherheitslücke mit hohem Schweregrad in Ninja-Formularen gepatcht

Mehr Ressourcen