Sitemap

Vulnerabilità del plug-in Ninja Forms

Il popolare plug-in WordPress Forms Ninja Form ha recentemente aggiornato il proprio plug-in per correggere una grave vulnerabilità.La vulnerabilità è classificata come una severità elevata perché potrebbe consentire a un utente malintenzionato di rubare l'accesso a livello di amministratore e impossessarsi dell'intero sito Web.

Vulnerabilità di falsificazione di richieste tra siti

L'exploit che causa questo è chiamato Cross-Site Request Forgery.Questo tipo di vulnerabilità sfrutta la mancanza di un normale controllo di sicurezza che consente quindi a un utente malintenzionato di caricare o sostituire file e persino di ottenere l'accesso amministrativo.

Ecco come il sito Common Weakness Enumeration descrive questo tipo di exploit:

“L'applicazione web non verifica, o non può, sufficientemente verificare se una richiesta ben formata, valida e coerente sia stata intenzionalmente fornita dall'utente che ha presentato la richiesta.

…potrebbe essere possibile per un utente malintenzionato indurre un client a fare una richiesta involontaria al server web che verrà trattata come una richiesta autentica. ... e può comportare l'esposizione di dati o l'esecuzione involontaria di codice."

Ninja forma una vulnerabilità di gravità elevata

WordFence WordPress Security ha scoperto l'exploit e ha immediatamente informato gli editori del plugin Ninja Forms per WordPress.Ninja Forms ha immediatamente corretto la vulnerabilità della sicurezza entro 24 ore.

Secondo WordFence, la vulnerabilità era contenuta in una modalità "legacy" che controllava le funzionalità di stile che tornavano a una versione precedente.È questa parte del codice che è stata interessata.

Così lo descrive WordFence:

“Sebbene tutte queste funzioni utilizzassero i controlli di capacità, due delle funzioni non sono riuscite a controllare i nonce, che vengono utilizzati per verificare che una richiesta sia stata inviata intenzionalmente da un utente legittimo.

... uno script dannoso eseguito nel browser di un amministratore potrebbe essere utilizzato per aggiungere nuovi account amministrativi, portando al completamento dell'acquisizione del sito, mentre uno script dannoso eseguito nel browser di un visitatore potrebbe essere utilizzato per reindirizzare quel visitatore a un sito dannoso".

Registro delle modifiche dei moduli Ninja

Gli editori del plug-in Ninja Forms hanno aggiornato responsabilmente il proprio plug-in in modo tempestivo.Hanno anche riflettuto onestamente di cosa trattava l'aggiornamento nel loro registro delle modifiche.

Un registro delle modifiche è una spiegazione di ciò che è cambiato in un aggiornamento software.Alcuni produttori di plugin cercano di nascondere l'argomento dell'aggiornamento non menzionando le vulnerabilità.

Ninja Forms ha riportato onestamente di cosa trattava l'aggiornamento.Questo è molto importante per gli editori perché li avvisa se qualcosa deve essere aggiornato immediatamente o se può aspettare.

Ciò dimostra che Ninja Forms è un editore di plugin per WordPress affidabile e responsabile.

Aggiorna i moduli Ninja ora

Tutti gli editori che utilizzano Ninja Forms sono invitati ad aggiornare immediatamente il loro plug-in Ninja Forms.Ninja Forms La versione 3.4.24.2 è l'ultima versione.Se si dispone di una versione precedente, è necessario aggiornare il plug-in per evitare questa grave vulnerabilità.

Leggi il rapporto di WordFence sulla vulnerabilità qui:

Vulnerabilità di gravità elevata corretta nelle forme ninja

Più risorse