Sitemap

Kerentanan Plugin Ninja Forms

Plugin WordPress Forms yang populer, Ninja Form, baru-baru ini memperbarui plugin mereka untuk menambal kerentanan yang parah.Kerentanan dinilai sangat parah karena dapat memungkinkan penyerang mencuri akses tingkat admin dan mengambil alih seluruh situs web.

Kerentanan Pemalsuan Permintaan Lintas Situs

Eksploitasi yang menyebabkan ini disebut Pemalsuan Permintaan Lintas Situs.Jenis kerentanan ini mengeksploitasi kurangnya pemeriksaan keamanan normal yang kemudian memungkinkan penyerang mengunggah atau mengganti file dan bahkan mendapatkan akses administratif.

Ini adalah bagaimana situs Common Weakness Enumeration, menjelaskan jenis eksploitasi ini:

“Aplikasi web tidak, atau tidak dapat, cukup memverifikasi apakah permintaan yang dibuat dengan baik, valid, dan konsisten sengaja disediakan oleh pengguna yang mengajukan permintaan.

…mungkin penyerang untuk mengelabui klien agar membuat permintaan yang tidak disengaja ke server web yang akan diperlakukan sebagai permintaan asli. …dan dapat mengakibatkan paparan data atau eksekusi kode yang tidak diinginkan.”

Ninja Membentuk Kerentanan Tingkat Keparahan Tinggi

WordFence WordPress Security menemukan eksploit tersebut dan segera memberi tahu penerbit plugin Ninja Forms WordPress.Ninja Forms segera menambal kerentanan keamanan dalam waktu 24 jam.

Menurut WordFence, kerentanan itu terkandung dalam mode "warisan" yang mengontrol fitur gaya yang dikembalikan ke versi yang lebih lama.Ini adalah bagian dari kode yang terpengaruh.

Beginilah cara WordFence menggambarkannya:

“Sementara semua fungsi ini menggunakan pemeriksaan kemampuan, dua fungsi gagal memeriksa nonces, yang digunakan untuk memverifikasi bahwa permintaan sengaja dikirim oleh pengguna yang sah.

… sebuah skrip berbahaya yang dieksekusi di browser Administrator dapat digunakan untuk menambahkan akun administratif baru, yang mengarah pada pengambilalihan situs lengkap, sementara skrip berbahaya yang dieksekusi di browser pengunjung dapat digunakan untuk mengarahkan pengunjung tersebut ke situs berbahaya.”

Log Perubahan Bentuk Ninja

Penerbit plugin Ninja Forms secara bertanggung jawab memperbarui plugin mereka secara tepat waktu.Mereka juga dengan jujur ​​​​mencerminkan tentang apa pembaruan itu di changelog mereka.

Changelog adalah penjelasan tentang apa yang telah berubah dalam pembaruan perangkat lunak.Beberapa pembuat plugin mencoba menyembunyikan tentang pembaruan itu dengan tidak menyebutkan kerentanan.

Ninja Forms dengan jujur ​​​​melaporkan tentang pembaruan itu.Ini sangat penting bagi penerbit karena memberi tahu mereka apakah sesuatu harus segera diperbarui atau dapat menunggu.

Ini menunjukkan bahwa Ninja Forms adalah penerbit plugin WordPress yang dapat dipercaya dan bertanggung jawab.

Perbarui Formulir Ninja Sekarang

Semua penerbit yang menggunakan Formulir Ninja dihimbau untuk segera memperbarui plugin Formulir Ninja mereka.Bentuk Ninja Versi 3.4.24.2 adalah versi terbaru.Jika Anda memiliki versi sebelumnya maka Anda harus memperbarui plugin Anda untuk menghindari kerentanan parah ini.

Baca laporan WordFence tentang kerentanan di sini:

Kerentanan Tingkat Keparahan Tinggi Ditambal dalam Bentuk Ninja

Lebih Banyak Sumber Daya