Sitemap

NinjaFormsプラグインの脆弱性

人気のWordPressフォームプラグインNinjaFormは最近、深刻な脆弱性にパッチを当てるためにプラグインを更新しました。攻撃者が管理者レベルのアクセスを盗み、Webサイト全体を乗っ取る可能性があるため、この脆弱性は重大度が高いと評価されています。

クロスサイトリクエストフォージェリの脆弱性

これを引き起こしているエクスプロイトは、クロスサイトリクエストフォージェリと呼ばれます。この種の脆弱性は、通常のセキュリティチェックの欠如を悪用し、攻撃者がファイルをアップロードまたは置換したり、管理アクセスを取得したりすることを可能にします。

Common Weakness Enumerationサイトでは、この種のエクスプロイトについて次のように説明しています。

「Webアプリケーションは、整形式で有効な一貫性のあるリクエストが、リクエストを送信したユーザーによって意図的に提供されたかどうかを十分に検証していないか、十分に検証できません。

…攻撃者がクライアントをだまして、本物の要求として扱われるWebサーバーへの意図しない要求を行う可能性があります。 …そして、データの漏洩や意図しないコードの実行につながる可能性があります。」

忍者が重大度の高い脆弱性を形成

WordFence WordPress Securityはこのエクスプロイトを発見し、すぐにNinjaFormsWordPressプラグインを発行者に通知しました。Ninja Formsは、24時間以内にセキュリティの脆弱性にすぐにパッチを適用しました。

WordFenceによると、この脆弱性は、古いバージョンに戻るスタイリング機能を制御する「レガシー」モードに含まれていました。影響を受けたのはコードのこの部分です。

これはWordFenceがそれを説明する方法です:

「これらの機能はすべて機能チェックを使用していましたが、2つの機能はナンスのチェックに失敗しました。ナンスは、リクエストが正当なユーザーによって意図的に送信されたことを確認するために使用されます。

…管理者のブラウザで実行された悪意のあるスクリプトを使用して新しい管理者アカウントを追加し、サイトの完全な乗っ取りにつながる可能性があります。一方、訪問者のブラウザで実行された悪意のあるスクリプトを使用して、その訪問者を悪意のあるサイトにリダイレクトする可能性があります。」

忍者フォーム変更ログ

Ninja Formsプラグインの発行者は、責任を持ってプラグインをタイムリーに更新しました。また、更新の内容を変更ログに正直に反映しました。

変更ログは、ソフトウェアアップデートで変更された内容の説明です。一部のプラグインメーカーは、脆弱性について言及しないことで、更新の内容を隠そうとします。

Ninja Formsは、アップデートの内容を正直に報告しました。これは、何かをすぐに更新する必要があるかどうか、または待機できるかどうかについてアラートを出すため、パブリッシャーにとって非常に重要です。

これは、NinjaFormsが信頼できる責任あるWordPressプラグインパブリッシャーであることを示しています。

忍者フォームを今すぐ更新

Ninja Formsを使用しているすべての発行者は、NinjaFormsプラグインをすぐに更新することをお勧めします。NinjaFormsバージョン3.4.24.2が最新バージョンです。以前のバージョンを使用している場合は、この深刻な脆弱性を回避するためにプラグインを更新する必要があります。

ここで脆弱性に関するWordFenceレポートを読んでください:

忍者フォームにパッチが適用された重大度の高い脆弱性

その他のリソース