Sitemap

Luka w zabezpieczeniach wtyczki formularzy Ninja

Popularna wtyczka WordPress Forms Ninja Form niedawno zaktualizowała swoją wtyczkę, aby załatać poważną lukę.Luka ma wysoki poziom ważności, ponieważ może umożliwić atakującemu kradzież dostępu na poziomie administratora i przejęcie całej witryny.

Luka w zabezpieczeniach umożliwiająca fałszowanie żądań między witrynami

Exploit, który to powoduje, nazywa się Cross-Site Request Forgery.Ten rodzaj luki wykorzystuje brak normalnej kontroli bezpieczeństwa, która umożliwia atakującemu przesyłanie lub zastępowanie plików, a nawet uzyskanie dostępu administracyjnego.

W ten sposób witryna Common Weakness Enumeration opisuje ten rodzaj exploita:

„Aplikacja internetowa nie weryfikuje lub nie może w wystarczającym stopniu zweryfikować, czy poprawnie sformułowany, ważny, spójny wniosek został celowo dostarczony przez użytkownika, który je zgłosił.

…może być możliwe, że atakujący nakłoni klienta do wysłania niezamierzonego żądania do serwera WWW, które zostanie potraktowane jako żądanie autentyczne. …i może spowodować ujawnienie danych lub niezamierzone wykonanie kodu.”

Ninja tworzy lukę o wysokim stopniu ważności

WordFence WordPress Security wykrył exploita i natychmiast powiadomił wydawców wtyczki Ninja Forms WordPress.Ninja Forms natychmiast załatało lukę w zabezpieczeniach w ciągu 24 godzin.

Według WordFence luka była zawarta w „starszym” trybie, który kontrolował funkcje stylizacji, które zostały przywrócone do starszej wersji.To właśnie ta część kodu została naruszona.

Tak opisuje to WordFence:

„Podczas gdy wszystkie te funkcje wykorzystywały sprawdzanie możliwości, dwie z nich nie sprawdzały wartości jednorazowych, które służą do sprawdzania, czy żądanie zostało celowo wysłane przez uprawnionego użytkownika.

…złośliwy skrypt wykonany w przeglądarce administratora może zostać użyty do dodania nowych kont administracyjnych, prowadząc do całkowitego przejęcia witryny, podczas gdy złośliwy skrypt wykonany w przeglądarce odwiedzającego może zostać wykorzystany do przekierowania tego odwiedzającego na złośliwą witrynę.”

Lista zmian form ninja

Wydawcy wtyczki Ninja Forms odpowiedzialnie aktualizowali swoją wtyczkę w odpowiednim czasie.Szczerze odzwierciedlili również, o co chodzi w aktualizacji, w swoim dzienniku zmian.

Changelog jest wyjaśnieniem, co się zmieniło w aktualizacji oprogramowania.Niektórzy twórcy wtyczek próbują ukryć, o co chodzi w aktualizacji, nie wspominając o lukach w zabezpieczeniach.

Ninja Forms szczerze poinformował, o co chodzi w aktualizacji.Jest to bardzo ważne dla wydawców, ponieważ ostrzega ich, czy coś powinno zostać natychmiast zaktualizowane, czy może poczekać.

To pokazuje, że Ninja Forms jest godnym zaufania i odpowiedzialnym wydawcą wtyczek WordPress.

Zaktualizuj formularze ninja teraz

Wszyscy wydawcy korzystający z Ninja Forms są proszeni o natychmiastową aktualizację wtyczki Ninja Forms.Ninja Forms w wersji 3.4.24.2 to najnowsza wersja.Jeśli masz wcześniejszą wersję, musisz zaktualizować wtyczkę, aby uniknąć tej poważnej luki.

Przeczytaj raport WordFence o luce tutaj:

Załatana luka o wysokim stopniu istotności w formularzach Ninja

Więcej zasobów