Sitemap

Ninja Forms beépülő modul biztonsági rése

A népszerű WordPress Forms beépülő modul, a Ninja Form nemrég frissítette bővítményét egy súlyos biztonsági rést javítva.A sérülékenységet nagyon súlyosnak minősítették, mert lehetővé teheti a támadó számára, hogy rendszergazdai szintű hozzáférést lopjon el, és átvegye az egész webhelyet.

Site-request Forgery Sebezhetőség

A kizsákmányolást, amely ezt okozza, az úgynevezett Cross-Site Request Forgery.Ez a fajta sebezhetőség a normál biztonsági ellenőrzés hiányát használja ki, amely lehetővé teszi a támadó számára, hogy fájlokat töltsön fel vagy lecseréljen, és akár rendszergazdai hozzáférést is szerezzen.

A Common Weakness Enumeration webhely így írja le ezt a fajta kizsákmányolást:

„A webalkalmazás nem, vagy nem tudja kellőképpen ellenőrizni, hogy a kérelmet benyújtó felhasználó szándékosan nyújtott-e be jól megformált, érvényes, következetes kérést.

…lehetséges, hogy a támadó rávegye az ügyfelet, hogy akaratlan kérést küldjön a webszervernek, amelyet a rendszer hiteles kérésként kezel. …és adatok nyilvánosságra hozatalát vagy nem szándékos kódfuttatást eredményezhet.”

A nindzsa súlyos sebezhetőséget alakít ki

A WordFence WordPress Security felfedezte a kizsákmányolást, és azonnal értesítette a Ninja Forms WordPress bővítmény kiadóit.A Ninja Forms 24 órán belül azonnal kijavította a biztonsági rést.

A WordFence szerint a sérülékenységet „örökölt” módban tartalmazták, amely a régebbi verzióra visszaállított stílusfunkciókat szabályozta.A kódnak ez a része érintett.

A WordFence így írja le:

„Míg ezek a funkciók mindegyike képesség-ellenőrzést használt, két funkció nem tudta ellenőrizni a nonces-eket, amelyek annak ellenőrzésére szolgálnak, hogy egy kérést szándékosan küldtek-e jogos felhasználó.

… egy adminisztrátor böngészőjében végrehajtott rosszindulatú szkript felhasználható új adminisztrátori fiókok hozzáadására, ami a webhely teljes átvételéhez vezet, míg a látogató böngészőjében végrehajtott rosszindulatú szkript felhasználható arra, hogy a látogatót egy rosszindulatú webhelyre irányítsák át.”

Ninja Forms változásnapló

A Ninja Forms beépülő modul kiadói felelősségteljesen és időben frissítették bővítményüket.Azt is őszintén tükrözték a változásnaplójukban, hogy miről szól a frissítés.

A változásnapló magyarázata arra, hogy mi változott a szoftverfrissítés során.Egyes bővítmények készítői úgy próbálják elrejteni, hogy miről szól a frissítés, és nem említik a sebezhetőséget.

A Ninja Forms őszintén beszámolt arról, hogy miről szól a frissítés.Ez nagyon fontos a kiadók számára, mert figyelmezteti őket, hogy valamit azonnal frissíteni kell-e, vagy várhat-e.

Ez azt mutatja, hogy a Ninja Forms megbízható és felelősségteljes WordPress-bővítmény-kiadó.

Frissítse a Ninja űrlapokat most

Minden Ninja Forms-ot használó megjelenítőt arra kérünk, hogy azonnal frissítse Ninja Forms beépülő modulját.A Ninja Forms 3.4.24.2 verziója a legújabb verzió.Ha korábbi verziója van, frissítenie kell a bővítményt a súlyos biztonsági rés elkerülése érdekében.

Olvassa el a WordFence-jelentést a sérülékenységről itt:

Súlyos sebezhetőség nindzsa-formákban foltozva

További források