Sitemap

Ευπάθεια προσθηκών Ninja Forms

Το δημοφιλές πρόσθετο WordPress Forms Το Ninja Form ενημέρωσε πρόσφατα την προσθήκη του για να επιδιορθώσει μια σοβαρή ευπάθεια.Η ευπάθεια έχει βαθμολογηθεί ως υψηλή σοβαρότητα επειδή θα μπορούσε να επιτρέψει σε έναν εισβολέα να κλέψει την πρόσβαση σε επίπεδο διαχειριστή και να καταλάβει ολόκληρο τον ιστότοπο.

Ευπάθεια πλαστογράφησης αιτήματος μεταξύ τοποθεσιών

Η εκμετάλλευση που προκαλεί αυτό ονομάζεται πλαστογράφηση αιτημάτων μεταξύ ιστότοπων.Αυτό το είδος ευπάθειας εκμεταλλεύεται την έλλειψη ενός κανονικού ελέγχου ασφαλείας που στη συνέχεια επιτρέπει σε έναν εισβολέα να ανεβάσει ή να αντικαταστήσει αρχεία και ακόμη και να αποκτήσει πρόσβαση διαχειριστή.

Αυτός είναι ο τρόπος με τον οποίο ο ιστότοπος Common Weakness Enumeration περιγράφει αυτό το είδος εκμετάλλευσης:

«Η εφαρμογή Ιστού δεν επαληθεύει ή δεν μπορεί να επαληθεύσει επαρκώς εάν ένα καλά διαμορφωμένο, έγκυρο, συνεπές αίτημα παρασχέθηκε σκόπιμα από τον χρήστη που υπέβαλε το αίτημα.

…μπορεί να είναι δυνατό για έναν εισβολέα να ξεγελάσει έναν πελάτη ώστε να υποβάλει ένα ακούσιο αίτημα στον διακομιστή ιστού, το οποίο θα αντιμετωπιστεί ως αυθεντικό αίτημα. …και μπορεί να οδηγήσει σε έκθεση δεδομένων ή ακούσια εκτέλεση κώδικα.”

Το Ninja σχηματίζει ευπάθεια υψηλής σοβαρότητας

Το WordFence WordPress Security ανακάλυψε την εκμετάλλευση και ειδοποίησε αμέσως τους εκδότες της προσθήκης Ninja Forms WordPress.Το Ninja Forms επιδιορθώνει αμέσως την ευπάθεια ασφαλείας εντός 24 ωρών.

Σύμφωνα με το WordFence, η ευπάθεια περιλαμβανόταν σε μια λειτουργία «κληρονομιάς» που έλεγχε τα χαρακτηριστικά στυλ που επέστρεφαν σε παλαιότερη έκδοση.Αυτό το τμήμα του κώδικα επηρεάστηκε.

Έτσι το περιγράφει το WordFence:

«Ενώ όλες αυτές οι συναρτήσεις χρησιμοποιούσαν ελέγχους δυνατοτήτων, δύο από τις συναρτήσεις απέτυχαν να ελέγξουν τις μηδενικές, οι οποίες χρησιμοποιούνται για να επαληθεύσουν ότι ένα αίτημα στάλθηκε σκόπιμα από έναν νόμιμο χρήστη.

… ένα κακόβουλο σενάριο που εκτελείται στο πρόγραμμα περιήγησης ενός διαχειριστή θα μπορούσε να χρησιμοποιηθεί για την προσθήκη νέων λογαριασμών διαχείρισης, οδηγώντας στην πλήρη κατάληψη του ιστότοπου, ενώ ένα κακόβουλο σενάριο που εκτελείται στο πρόγραμμα περιήγησης ενός επισκέπτη θα μπορούσε να χρησιμοποιηθεί για να ανακατευθύνει αυτόν τον επισκέπτη σε έναν κακόβουλο ιστότοπο.

Καταγραφή αλλαγών φορμών Ninja

Οι εκδότες του πρόσθετου Ninja Forms ενημέρωσαν με υπευθυνότητα το πρόσθετό τους έγκαιρα.Επίσης, αντανακλούσαν ειλικρινά το θέμα της ενημέρωσης στο ημερολόγιο αλλαγών τους.

Το αρχείο καταγραφής αλλαγών είναι μια εξήγηση του τι έχει αλλάξει σε μια ενημέρωση λογισμικού.Ορισμένοι κατασκευαστές προσθηκών προσπαθούν να κρύψουν το θέμα της ενημέρωσης, μη αναφέροντας ευπάθειες.

Το Ninja Forms ανέφερε ειλικρινά περί τίνος πρόκειται για την ενημέρωση.Αυτό είναι πολύ σημαντικό για τους εκδότες, επειδή τους ειδοποιεί εάν κάτι πρέπει να ενημερωθεί αμέσως ή αν μπορεί να περιμένει.

Αυτό δείχνει ότι το Ninja Forms είναι ένας αξιόπιστος και υπεύθυνος εκδότης plugin WordPress.

Ενημερώστε τώρα τις φόρμες Ninja

Όλοι οι εκδότες που χρησιμοποιούν Φόρμες Ninja καλούνται να ενημερώσουν αμέσως το πρόσθετο Ninja Forms.Ninja Forms Έκδοση 3.4.24.2 είναι η πιο πρόσφατη έκδοση.Εάν διαθέτετε παλαιότερη έκδοση, τότε πρέπει να ενημερώσετε το πρόσθετό σας για να αποφύγετε αυτή τη σοβαρή ευπάθεια.

Διαβάστε την αναφορά του WordFence σχετικά με την ευπάθεια εδώ:

Η ευπάθεια υψηλής σοβαρότητας επιδιορθώθηκε σε φόρμες Ninja

Περισσότεροι πόροι