Быстрая навигация
Популярный плагин WordPress Forms Ninja Form недавно обновил свой плагин, чтобы исправить серьезную уязвимость.Уязвимости присвоен высокий уровень серьезности, поскольку она может позволить злоумышленнику украсть доступ на уровне администратора и захватить весь веб-сайт.
Уязвимость, связанная с подделкой межсайтовых запросов
Эксплойт, вызывающий это, называется подделкой межсайтовых запросов.Этот тип уязвимости использует отсутствие обычной проверки безопасности, которая затем позволяет злоумышленнику загружать или заменять файлы и даже получать административный доступ.
Вот как сайт Common Weakness Enumeration описывает такой эксплойт:
«Веб-приложение не выполняет или не может в достаточной мере проверить, был ли правильно сформированный, действительный, непротиворечивый запрос намеренно предоставлен пользователем, отправившим запрос.
… злоумышленник может обманом заставить клиента сделать непреднамеренный запрос к веб-серверу, который будет рассматриваться как подлинный запрос. …и может привести к раскрытию данных или непреднамеренному выполнению кода».
Ninja формирует уязвимость высокой степени серьезности
WordFence WordPress Security обнаружил эксплойт и немедленно уведомил издателей плагина Ninja Forms для WordPress.Ninja Forms немедленно исправила уязвимость в системе безопасности в течение 24 часов.
По данным WordFence, уязвимость содержалась в «устаревшем» режиме, который управлял функциями стиля, возвращавшимися к более старой версии.Именно эта часть кода была затронута.
Вот как WordFence описывает это:
«Хотя все эти функции использовали проверки возможностей, две функции не смогли проверить одноразовые номера, которые используются для проверки того, что запрос был намеренно отправлен законным пользователем.
… вредоносный сценарий, выполняемый в браузере администратора, может использоваться для добавления новых административных учетных записей, что приводит к полному захвату сайта, в то время как вредоносный сценарий, выполняемый в браузере посетителя, может использоваться для перенаправления этого посетителя на вредоносный сайт».
Список изменений формы ниндзя
Издатели плагина Ninja Forms ответственно и своевременно обновили свой плагин.Они также честно отразили суть обновления в своем журнале изменений.
Журнал изменений — это объяснение того, что изменилось в обновлении программного обеспечения.Некоторые производители плагинов пытаются скрыть суть обновления, не упоминая об уязвимостях.
Ninja Forms честно сообщила, о чем было обновление.Это очень важно для издателей, потому что предупреждает их о том, следует ли что-то обновить немедленно или это может подождать.
Это показывает, что Ninja Forms является надежным и ответственным издателем плагинов WordPress.
Обновите формы ниндзя сейчас
Всем издателям, использующим Ninja Forms, настоятельно рекомендуется немедленно обновить свой плагин Ninja Forms.Версия Ninja Forms 3.4.24.2 — последняя версия.Если у вас более ранняя версия, вы должны обновить свой плагин, чтобы избежать этой серьезной уязвимости.
Прочтите отчет WordFence об уязвимости здесь:
В Ninja Forms устранена серьезная уязвимость
