Gyors navigáció
A népszerű WordPress Forms beépülő modul, a Ninja Form nemrég frissítette bővítményét egy súlyos biztonsági rést javítva.A sérülékenységet nagyon súlyosnak minősítették, mert lehetővé teheti a támadó számára, hogy rendszergazdai szintű hozzáférést lopjon el, és átvegye az egész webhelyet.
Site-request Forgery Sebezhetőség
A kizsákmányolást, amely ezt okozza, az úgynevezett Cross-Site Request Forgery.Ez a fajta sebezhetőség a normál biztonsági ellenőrzés hiányát használja ki, amely lehetővé teszi a támadó számára, hogy fájlokat töltsön fel vagy lecseréljen, és akár rendszergazdai hozzáférést is szerezzen.
A Common Weakness Enumeration webhely így írja le ezt a fajta kizsákmányolást:
„A webalkalmazás nem, vagy nem tudja kellőképpen ellenőrizni, hogy a kérelmet benyújtó felhasználó szándékosan nyújtott-e be jól megformált, érvényes, következetes kérést.
…lehetséges, hogy a támadó rávegye az ügyfelet, hogy akaratlan kérést küldjön a webszervernek, amelyet a rendszer hiteles kérésként kezel. …és adatok nyilvánosságra hozatalát vagy nem szándékos kódfuttatást eredményezhet.”
A nindzsa súlyos sebezhetőséget alakít ki
A WordFence WordPress Security felfedezte a kizsákmányolást, és azonnal értesítette a Ninja Forms WordPress bővítmény kiadóit.A Ninja Forms 24 órán belül azonnal kijavította a biztonsági rést.
A WordFence szerint a sérülékenységet „örökölt” módban tartalmazták, amely a régebbi verzióra visszaállított stílusfunkciókat szabályozta.A kódnak ez a része érintett.
A WordFence így írja le:
„Míg ezek a funkciók mindegyike képesség-ellenőrzést használt, két funkció nem tudta ellenőrizni a nonces-eket, amelyek annak ellenőrzésére szolgálnak, hogy egy kérést szándékosan küldtek-e jogos felhasználó.
… egy adminisztrátor böngészőjében végrehajtott rosszindulatú szkript felhasználható új adminisztrátori fiókok hozzáadására, ami a webhely teljes átvételéhez vezet, míg a látogató böngészőjében végrehajtott rosszindulatú szkript felhasználható arra, hogy a látogatót egy rosszindulatú webhelyre irányítsák át.”
Ninja Forms változásnapló
A Ninja Forms beépülő modul kiadói felelősségteljesen és időben frissítették bővítményüket.Azt is őszintén tükrözték a változásnaplójukban, hogy miről szól a frissítés.
A változásnapló magyarázata arra, hogy mi változott a szoftverfrissítés során.Egyes bővítmények készítői úgy próbálják elrejteni, hogy miről szól a frissítés, és nem említik a sebezhetőséget.
A Ninja Forms őszintén beszámolt arról, hogy miről szól a frissítés.Ez nagyon fontos a kiadók számára, mert figyelmezteti őket, hogy valamit azonnal frissíteni kell-e, vagy várhat-e.
Ez azt mutatja, hogy a Ninja Forms megbízható és felelősségteljes WordPress-bővítmény-kiadó.
Frissítse a Ninja űrlapokat most
Minden Ninja Forms-ot használó megjelenítőt arra kérünk, hogy azonnal frissítse Ninja Forms beépülő modulját.A Ninja Forms 3.4.24.2 verziója a legújabb verzió.Ha korábbi verziója van, frissítenie kell a bővítményt a súlyos biztonsági rés elkerülése érdekében.
Olvassa el a WordFence-jelentést a sérülékenységről itt:
Súlyos sebezhetőség nindzsa-formákban foltozva
