Sitemap

Kerentanan Pemalam Bentuk Ninja

Pemalam Borang WordPress popular Ninja Form baru-baru ini mengemas kini pemalam mereka untuk menambal kelemahan yang teruk.Kerentanan dinilai sebagai tahap keterukan yang tinggi kerana ia boleh membenarkan penyerang mencuri akses peringkat pentadbir dan mengambil alih keseluruhan tapak web.

Kerentanan Pemalsuan Permintaan Merentas Tapak

Eksploitasi yang menyebabkan perkara ini dipanggil Pemalsuan Permintaan Merentas Tapak.Kerentanan jenis ini mengeksploitasi kekurangan semakan keselamatan biasa yang kemudiannya membenarkan penyerang untuk memuat naik atau menggantikan fail dan juga mendapat akses pentadbiran.

Beginilah cara tapak Penghitungan Kelemahan Biasa, menerangkan eksploitasi jenis ini:

“Aplikasi web tidak, atau tidak boleh, mengesahkan dengan secukupnya sama ada permintaan yang dibentuk dengan baik, sah, konsisten sengaja disediakan oleh pengguna yang menyerahkan permintaan itu.

…mungkin penyerang memperdaya pelanggan untuk membuat permintaan yang tidak disengajakan kepada pelayan web yang akan dianggap sebagai permintaan yang sahih. …dan boleh mengakibatkan pendedahan data atau pelaksanaan kod yang tidak diingini.”

Ninja Membentuk Kelemahan Keterukan Tinggi

WordFence WordPress Security menemui eksploitasi dan segera memberitahu penerbit pemalam Ninja Forms WordPress.Ninja Forms segera menambal kelemahan keselamatan dalam masa 24 jam.

Menurut WordFence, kelemahan itu terkandung dalam mod "warisan" yang mengawal ciri penggayaan yang berbalik kepada versi yang lebih lama.Bahagian kod inilah yang terjejas.

Beginilah cara WordFence menerangkannya:

“Walaupun semua fungsi ini menggunakan semakan keupayaan, dua daripada fungsi itu gagal menyemak nonces, yang digunakan untuk mengesahkan bahawa permintaan telah dihantar secara sengaja oleh pengguna yang sah.

… skrip hasad yang dilaksanakan dalam penyemak imbas Pentadbir boleh digunakan untuk menambah akaun pentadbiran baharu, yang membawa kepada melengkapkan pengambilalihan tapak, manakala skrip hasad yang dilaksanakan dalam penyemak imbas pelawat boleh digunakan untuk mengubah hala pelawat tersebut ke tapak berniat jahat.”

Ninja Forms Changelog

Penerbit pemalam Ninja Forms mengemas kini pemalam mereka secara bertanggungjawab tepat pada masanya.Mereka juga dengan jujur ​​menggambarkan tentang kemas kini itu dalam log perubahan mereka.

Log perubahan ialah penjelasan tentang perkara yang telah berubah dalam kemas kini perisian.Sesetengah pembuat pemalam cuba menyembunyikan perkara kemas kini itu dengan tidak menyebut kelemahan.

Ninja Forms dengan jujur ​​melaporkan tentang kemas kini itu.Ini sangat penting untuk penerbit kerana ia memberitahu mereka sama ada sesuatu perlu dikemas kini dengan segera atau jika ia boleh menunggu.

Ini menunjukkan bahawa Ninja Forms ialah penerbit pemalam WordPress yang boleh dipercayai dan bertanggungjawab.

Kemas kini Borang Ninja Sekarang

Semua penerbit yang menggunakan Ninja Forms digesa untuk segera mengemas kini pemalam Ninja Forms mereka.Ninja Forms Versi 3.4.24.2 ialah versi terkini.Jika anda mempunyai versi terdahulu maka anda mesti mengemas kini pemalam anda untuk mengelakkan kerentanan yang teruk ini.

Baca laporan WordFence tentang kerentanan di sini:

Kerentanan Keterukan Tinggi Ditambal dalam Borang Ninja

Lebih Banyak Sumber