Sitemap

Vulnerabilidade do plug-in do Ninja Forms

O popular plugin WordPress Forms Ninja Form atualizou recentemente seu plugin para corrigir uma vulnerabilidade grave.A vulnerabilidade é classificada como de alta gravidade porque pode permitir que um invasor roube o acesso de nível de administrador e assuma o controle de todo o site.

Vulnerabilidade de falsificação de solicitação entre sites

O exploit que está causando isso é chamado Cross-Site Request Forgery.Esse tipo de vulnerabilidade explora a falta de uma verificação de segurança normal que permite que um invasor carregue ou substitua arquivos e até obtenha acesso administrativo.

É assim que o site Common Weakness Enumeration descreve esse tipo de exploração:

“O aplicativo da web não verifica ou não pode verificar suficientemente se uma solicitação bem formada, válida e consistente foi fornecida intencionalmente pelo usuário que enviou a solicitação.

…pode ser possível que um invasor induza um cliente a fazer uma solicitação não intencional ao servidor da Web, que será tratada como uma solicitação autêntica. …e pode resultar na exposição de dados ou execução de código não intencional.”

Vulnerabilidade de alta gravidade do Ninja Forms

O WordFence WordPress Security descobriu a exploração e notificou imediatamente os editores do plugin Ninja Forms WordPress.O Ninja Forms corrigiu imediatamente a vulnerabilidade de segurança em 24 horas.

De acordo com o WordFence, a vulnerabilidade estava contida em um modo “herdado” que controlava recursos de estilo que eram revertidos para uma versão mais antiga.É esta parte do código que foi afetada.

É assim que o WordFence o descreve:

“Enquanto todas essas funções usavam verificações de capacidade, duas das funções falharam em verificar nonces, que são usados ​​para verificar se uma solicitação foi enviada intencionalmente por um usuário legítimo.

… um script malicioso executado no navegador de um administrador pode ser usado para adicionar novas contas administrativas, levando ao controle completo do site, enquanto um script malicioso executado no navegador de um visitante pode ser usado para redirecionar esse visitante para um site malicioso.”

Registro de alterações do Ninja Forms

Os editores do plugin Ninja Forms atualizaram seu plugin com responsabilidade em tempo hábil.Eles também refletiram honestamente sobre o que era a atualização em seu changelog.

Um changelog é uma explicação do que mudou em uma atualização de software.Alguns fabricantes de plugins tentam esconder sobre o que foi a atualização, não mencionando vulnerabilidades.

O Ninja Forms relatou honestamente sobre o que era a atualização.Isso é muito importante para os editores porque os alerta sobre se algo deve ser atualizado imediatamente ou se pode esperar.

Isso mostra que o Ninja Forms é um editor de plugins WordPress confiável e responsável.

Atualizar formulários ninja agora

Todos os editores que usam o Ninja Forms devem atualizar imediatamente seu plug-in do Ninja Forms.Ninja Forms Versão 3.4.24.2 é a versão mais recente.Se você tiver uma versão anterior, deverá atualizar seu plug-in para evitar essa vulnerabilidade grave.

Leia o relatório do WordFence sobre a vulnerabilidade aqui:

Vulnerabilidade de alta gravidade corrigida em formulários Ninja

Mais recursos