Sitemap

Ninja Forms Plugin sårbarhet

Populära WordPress Forms-plugin Ninja Form uppdaterade nyligen sin plugin för att korrigera en allvarlig sårbarhet.Sårbarheten klassificeras som en hög allvarlighetsgrad eftersom den kan tillåta en angripare att stjäla åtkomst på administratörsnivå och ta över hela webbplatsen.

Sårbarhet för förfalskning av begäranden över flera webbplatser

Exploateringen som orsakar detta kallas Cross-Site Request Forgery.Denna typ av sårbarhet utnyttjar bristen på en normal säkerhetskontroll som sedan tillåter en angripare att ladda upp eller ersätta filer och till och med få administrativ åtkomst.

Så här beskriver webbplatsen Common Weakness Enumeration den här typen av utnyttjande:

"Webbapplikationen kan inte, eller kan inte, tillräckligt verifiera om en välformad, giltig, konsekvent begäran avsiktligt tillhandahållits av användaren som skickade begäran.

…det kan vara möjligt för en angripare att lura en klient att göra en oavsiktlig begäran till webbservern som kommer att behandlas som en autentisk begäran. ...och kan resultera i exponering av data eller oavsiktlig kodexekvering."

Ninja bildar sårbarhet i hög grad

WordFence WordPress Security upptäckte exploateringen och meddelade omedelbart utgivarna av Ninja Forms WordPress-plugin.Ninja Forms korrigerade omedelbart säkerhetssårbarheten inom 24 timmar.

Enligt WordFence fanns sårbarheten i ett "legacy"-läge som kontrollerade stylingfunktioner som återgick till en äldre version.Det är denna del av koden som påverkades.

Så här beskriver WordFence det:

"Medan alla dessa funktioner använde kapacitetskontroller, misslyckades två av funktionerna att kontrollera nonces, som används för att verifiera att en begäran avsiktligt skickades av en legitim användare.

… ett skadligt skript som körs i en administratörs webbläsare kan användas för att lägga till nya administrativa konton, vilket leder till fullständigt övertagande av webbplatsen, medan ett skadligt skript som körs i en besökares webbläsare kan användas för att omdirigera den besökaren till en skadlig webbplats.”

Ninja Forms Changelog

Utgivarna av plugin-programmet Ninja Forms uppdaterade på ett ansvarsfullt sätt sitt plugin i tid.De speglade också ärligt vad uppdateringen handlade om i sin ändringslogg.

En ändringslogg är en förklaring av vad som har förändrats i en mjukvaruuppdatering.Vissa plugin-tillverkare försöker dölja vad uppdateringen handlade om genom att inte nämna sårbarheter.

Ninja Forms rapporterade ärligt vad uppdateringen handlade om.Detta är mycket viktigt för publicister eftersom det varnar dem om huruvida något ska uppdateras omedelbart eller om det kan vänta.

Detta visar att Ninja Forms är en pålitlig och ansvarsfull WordPress-plugin-utgivare.

Uppdatera Ninja Forms nu

Alla utgivare som använder Ninja Forms uppmanas att omedelbart uppdatera sina Ninja Forms-plugin.Ninja Forms Version 3.4.24.2 är den senaste versionen.Om du har en tidigare version måste du uppdatera din plugin för att undvika denna allvarliga sårbarhet.

Läs WordFence-rapporten om sårbarheten här:

Sårbarhet med hög svårighetsgrad patchad i Ninja-formulär

Fler resurser