Sitemap

Ninja Forms 플러그인 취약점

인기 있는 WordPress Forms 플러그인 Ninja Form은 최근 심각한 취약점을 패치하기 위해 플러그인을 업데이트했습니다.이 취약점은 공격자가 관리자 수준 액세스를 훔치고 전체 웹사이트를 탈취할 수 있기 때문에 높은 심각도로 평가됩니다.

사이트 간 요청 위조 취약점

이를 유발하는 익스플로잇을 Cross-Site Request Forgery라고 합니다.이러한 종류의 취약점은 공격자가 파일을 업로드하거나 교체하고 심지어 관리 액세스 권한을 얻을 수 있도록 하는 일반적인 보안 검사의 부족을 악용합니다.

Common Weakness Enumeration 사이트는 이런 종류의 익스플로잇을 설명합니다.

"웹 애플리케이션은 요청을 제출한 사용자가 의도적으로 적절하고 유효하며 일관된 요청을 제공했는지 여부를 충분히 검증하지 않거나 검증할 수 없습니다.

...공격자가 클라이언트를 속여 웹 서버에 의도하지 않은 요청을 하도록 유도할 수 있습니다. 이 요청은 인증된 요청으로 처리됩니다. … 데이터가 노출되거나 의도하지 않은 코드가 실행될 수 있습니다.”

Ninja Forms High Severity Vulnerability

WordFence WordPress Security는 익스플로잇을 발견하고 즉시 Ninja Forms WordPress 플러그인 게시자에게 알렸습니다.Ninja Forms는 24시간 이내에 보안 취약점을 즉시 패치했습니다.

WordFence에 따르면 이 취약점은 이전 버전으로 되돌아간 스타일 기능을 제어하는 ​​"레거시" 모드에 포함되어 있습니다.영향을 받은 것은 코드의 이 부분입니다.

WordFence에서는 다음과 같이 설명합니다.

“이 모든 기능이 기능 검사를 사용하는 반면, 두 가지 기능은 요청이 합법적인 사용자가 의도적으로 보낸 것인지 확인하는 데 사용되는 nonce 검사에 실패했습니다.

... 관리자의 브라우저에서 실행되는 악성 스크립트는 새로운 관리 계정을 추가하는 데 사용될 수 있으며, 이는 완전한 사이트 탈취로 이어질 수 있고, 방문자의 브라우저에서 실행되는 악성 스크립트는 해당 방문자를 악성 사이트로 리디렉션하는 데 사용될 수 있습니다."

닌자 양식 변경 로그

Ninja Forms 플러그인 게시자는 적시에 플러그인을 책임감 있게 업데이트했습니다.그들은 또한 업데이트 내용을 변경 로그에 정직하게 반영했습니다.

변경 로그는 소프트웨어 업데이트에서 변경된 사항에 대한 설명입니다.일부 플러그인 제조업체는 취약점을 언급하지 않음으로써 업데이트 내용을 숨기려고 합니다.

Ninja Forms는 업데이트 내용을 솔직히 보고했습니다.이는 즉시 업데이트해야 하는지 아니면 기다릴 수 있는지 알려 주기 때문에 게시자에게 매우 중요합니다.

이것은 Ninja Forms가 신뢰할 수 있고 책임감 있는 WordPress 플러그인 게시자임을 보여줍니다.

지금 닌자 양식 업데이트

Ninja Forms를 사용하는 모든 게시자는 Ninja Forms 플러그인을 즉시 업데이트해야 합니다.Ninja Forms 버전 3.4.24.2가 최신 버전입니다.이전 버전이 있는 경우 이 심각한 취약점을 방지하려면 플러그인을 업데이트해야 합니다.

여기에서 취약점에 대한 WordFence 보고서를 읽으십시오.

Ninja Forms에서 패치된 높은 심각도 취약점

추가 리소스