Sitemap

Vulnerabilitatea pluginului Ninja Forms

Pluginul popular WordPress Forms Ninja Form și-a actualizat recent pluginul pentru a corecta o vulnerabilitate gravă.Vulnerabilitatea este evaluată la o gravitate ridicată, deoarece ar putea permite unui atacator să fure acces la nivel de administrator și să preia întregul site web.

Vulnerabilitatea de falsificare a cererilor între site-uri

Exploita-ul care provoacă acest lucru se numește falsificare de solicitare între site-uri.Acest tip de vulnerabilitate exploatează lipsa unei verificări normale de securitate care permite apoi unui atacator să încarce sau să înlocuiască fișiere și chiar să obțină acces administrativ.

Iată cum descrie site-ul Common Weakness Enumeration acest tip de exploit:

„Aplicația web nu verifică sau nu poate verifica suficient dacă o solicitare bine formată, validă și consecventă a fost furnizată în mod intenționat de către utilizatorul care a transmis cererea.

… ar putea fi posibil ca un atacator să păcălească un client să facă o cerere neintenționată către serverul web, care va fi tratată ca o cerere autentică. … și poate duce la expunerea datelor sau la executarea neintenționată a codului.”

Ninja formează o vulnerabilitate de gravitate ridicată

WordFence WordPress Security a descoperit exploit-ul și a notificat imediat editorii pluginului Ninja Forms WordPress.Ninja Forms a corectat imediat vulnerabilitatea de securitate în 24 de ore.

Potrivit WordFence, vulnerabilitatea a fost conținută într-un mod „moștenire” care controla caracteristicile de stil care au revenit la o versiune mai veche.Această parte a codului a fost afectată.

Acesta este modul în care WordFence îl descrie:

„În timp ce toate aceste funcții au folosit verificări ale capacității, două dintre funcții nu au reușit să verifice non-urile, care sunt folosite pentru a verifica dacă o solicitare a fost trimisă intenționat de un utilizator legitim.

… un script rău intenționat executat în browserul unui administrator ar putea fi folosit pentru a adăuga noi conturi administrative, ceea ce duce la preluarea completă a site-ului, în timp ce un script rău intenționat executat în browserul unui vizitator ar putea fi folosit pentru a redirecționa acel vizitator către un site rău intenționat.”

Jurnal de modificări Ninja Forms

Editorii pluginului Ninja Forms și-au actualizat în mod responsabil pluginul în timp util.De asemenea, au reflectat sincer despre ce a fost actualizarea în jurnalul de modificări.

Un jurnal de modificări este o explicație a ceea ce s-a schimbat într-o actualizare de software.Unii producători de pluginuri încearcă să ascundă despre ce a fost actualizarea fără a menționa vulnerabilitățile.

Ninja Forms a raportat sincer despre ce a fost actualizarea.Acest lucru este foarte important pentru editori, deoarece îi alertează dacă ceva ar trebui actualizat imediat sau dacă poate aștepta.

Acest lucru arată că Ninja Forms este un editor de plugin WordPress de încredere și responsabil.

Actualizați Ninja Forms acum

Toți editorii care folosesc Ninja Forms sunt îndemnați să-și actualizeze imediat pluginul Ninja Forms.Ninja Forms Versiunea 3.4.24.2 este cea mai recentă versiune.Dacă aveți o versiune anterioară, atunci trebuie să vă actualizați pluginul pentru a evita această vulnerabilitate gravă.

Citiți raportul WordFence despre vulnerabilitate aici:

Vulnerabilitatea de gravitate ridicată a fost corectată în formele Ninja

Mai multe resurse