Sitemap

Уязвимость плагина Ninja Forms

Популярный плагин WordPress Forms Ninja Form недавно обновил свой плагин, чтобы исправить серьезную уязвимость.Уязвимости присвоен высокий уровень серьезности, поскольку она может позволить злоумышленнику украсть доступ на уровне администратора и захватить весь веб-сайт.

Уязвимость, связанная с подделкой межсайтовых запросов

Эксплойт, вызывающий это, называется подделкой межсайтовых запросов.Этот тип уязвимости использует отсутствие обычной проверки безопасности, которая затем позволяет злоумышленнику загружать или заменять файлы и даже получать административный доступ.

Вот как сайт Common Weakness Enumeration описывает такой эксплойт:

«Веб-приложение не выполняет или не может в достаточной мере проверить, был ли правильно сформированный, действительный, непротиворечивый запрос намеренно предоставлен пользователем, отправившим запрос.

… злоумышленник может обманом заставить клиента сделать непреднамеренный запрос к веб-серверу, который будет рассматриваться как подлинный запрос. …и может привести к раскрытию данных или непреднамеренному выполнению кода».

Ninja формирует уязвимость высокой степени серьезности

WordFence WordPress Security обнаружил эксплойт и немедленно уведомил издателей плагина Ninja Forms для WordPress.Ninja Forms немедленно исправила уязвимость в системе безопасности в течение 24 часов.

По данным WordFence, уязвимость содержалась в «устаревшем» режиме, который управлял функциями стиля, возвращавшимися к более старой версии.Именно эта часть кода была затронута.

Вот как WordFence описывает это:

«Хотя все эти функции использовали проверки возможностей, две функции не смогли проверить одноразовые номера, которые используются для проверки того, что запрос был намеренно отправлен законным пользователем.

… вредоносный сценарий, выполняемый в браузере администратора, может использоваться для добавления новых административных учетных записей, что приводит к полному захвату сайта, в то время как вредоносный сценарий, выполняемый в браузере посетителя, может использоваться для перенаправления этого посетителя на вредоносный сайт».

Список изменений формы ниндзя

Издатели плагина Ninja Forms ответственно и своевременно обновили свой плагин.Они также честно отразили суть обновления в своем журнале изменений.

Журнал изменений — это объяснение того, что изменилось в обновлении программного обеспечения.Некоторые производители плагинов пытаются скрыть суть обновления, не упоминая об уязвимостях.

Ninja Forms честно сообщила, о чем было обновление.Это очень важно для издателей, потому что предупреждает их о том, следует ли что-то обновить немедленно или это может подождать.

Это показывает, что Ninja Forms является надежным и ответственным издателем плагинов WordPress.

Обновите формы ниндзя сейчас

Всем издателям, использующим Ninja Forms, настоятельно рекомендуется немедленно обновить свой плагин Ninja Forms.Версия Ninja Forms 3.4.24.2 — последняя версия.Если у вас более ранняя версия, вы должны обновить свой плагин, чтобы избежать этой серьезной уязвимости.

Прочтите отчет WordFence об уязвимости здесь:

В Ninja Forms устранена серьезная уязвимость

Дополнительные ресурсы