Sitemap

ช่องโหว่ปลั๊กอินของฟอร์มนินจา

ปลั๊กอิน WordPress Forms ยอดนิยม Ninja Form เพิ่งอัปเดตปลั๊กอินเพื่อแก้ไขช่องโหว่ที่รุนแรงช่องโหว่นี้มีระดับความรุนแรงสูง เนื่องจากอาจทำให้ผู้โจมตีขโมยสิทธิ์การเข้าถึงระดับผู้ดูแลระบบและเข้าควบคุมเว็บไซต์ทั้งหมดได้

ช่องโหว่การปลอมแปลงคำขอข้ามไซต์

การหาประโยชน์ที่ทำให้เกิดสิ่งนี้เรียกว่า Cross-Site Request Forgeryช่องโหว่ประเภทนี้ใช้ประโยชน์จากการขาดการตรวจสอบความปลอดภัยตามปกติ ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดหรือเปลี่ยนไฟล์และแม้กระทั่งเข้าถึงระดับผู้ดูแลระบบได้

นี่คือวิธีที่ไซต์ Common Weakness Enumeration อธิบายการใช้ประโยชน์ประเภทนี้:

“เว็บแอปพลิเคชันไม่สามารถหรือไม่สามารถตรวจสอบได้อย่างเพียงพอว่าคำขอที่มีรูปแบบถูกต้อง ถูกต้อง และสอดคล้องกันนั้นจัดทำขึ้นโดยผู้ใช้ที่ส่งคำขอโดยเจตนาหรือไม่

...ผู้โจมตีอาจหลอกล่อลูกค้าให้ส่งคำขอไปยังเว็บเซิร์ฟเวอร์โดยไม่ได้ตั้งใจ ซึ่งจะเป็นคำขอที่แท้จริง …และอาจส่งผลให้เกิดการเปิดเผยข้อมูลหรือการใช้รหัสโดยไม่ได้ตั้งใจ”

นินจาสร้างช่องโหว่ที่มีความรุนแรงสูง

WordFence WordPress Security ค้นพบช่องโหว่และแจ้งผู้เผยแพร่ปลั๊กอิน WordPress ของ Ninja Forms ทันทีNinja Forms ได้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยทันทีภายใน 24 ชั่วโมง

ตาม WordFence ช่องโหว่นั้นอยู่ในโหมด "ดั้งเดิม" ที่ควบคุมคุณสมบัติการจัดสไตล์ที่เปลี่ยนกลับเป็นเวอร์ชันเก่ากว่าเป็นส่วนนี้ของรหัสที่ได้รับผลกระทบ

นี่คือวิธีที่ WordFence อธิบาย:

“ในขณะที่ฟังก์ชันทั้งหมดเหล่านี้ใช้การตรวจสอบความสามารถ ฟังก์ชันสองฟังก์ชันล้มเหลวในการตรวจสอบ nonce ซึ่งใช้เพื่อตรวจสอบว่าคำขอถูกส่งโดยผู้ใช้ที่ถูกต้องโดยเจตนา

… สคริปต์ที่เป็นอันตรายที่ทำงานในเบราว์เซอร์ของผู้ดูแลระบบสามารถใช้เพื่อเพิ่มบัญชีการดูแลระบบใหม่ นำไปสู่การเข้ายึดเว็บไซต์โดยสมบูรณ์ ในขณะที่สคริปต์ที่เป็นอันตรายที่ทำงานในเบราว์เซอร์ของผู้เยี่ยมชมอาจใช้เพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมนั้นไปยังเว็บไซต์ที่เป็นอันตราย”

บันทึกการเปลี่ยนแปลงแบบฟอร์มนินจา

ผู้เผยแพร่ปลั๊กอิน Ninja Forms อัปเดตปลั๊กอินอย่างมีความรับผิดชอบในเวลาที่เหมาะสมพวกเขายังสะท้อนให้เห็นอย่างตรงไปตรงมาว่าการอัปเดตเกี่ยวกับอะไรในบันทึกการเปลี่ยนแปลง

บันทึกการเปลี่ยนแปลงคือคำอธิบายของสิ่งที่เปลี่ยนแปลงในการอัปเดตซอฟต์แวร์ผู้ผลิตปลั๊กอินบางรายพยายามซ่อนสิ่งที่อัปเดตเกี่ยวกับการไม่กล่าวถึงช่องโหว่

Ninja Forms รายงานอย่างตรงไปตรงมาว่าการอัปเดตเกี่ยวกับอะไรสิ่งนี้สำคัญมากสำหรับผู้เผยแพร่ เนื่องจากจะแจ้งเตือนว่าควรอัปเดตสิ่งใดทันทีหรือรอได้

นี่แสดงให้เห็นว่า Ninja Forms เป็นผู้เผยแพร่ปลั๊กอิน WordPress ที่น่าเชื่อถือและมีความรับผิดชอบ

อัพเดทฟอร์มนินจาตอนนี้

ผู้เผยแพร่โฆษณาทั้งหมดที่ใช้ Ninja Forms จะต้องอัปเดตปลั๊กอิน Ninja Forms ทันทีNinja Forms เวอร์ชัน 3.4.24.2 เป็นเวอร์ชันล่าสุดหากคุณมีเวอร์ชันก่อนหน้า คุณต้องอัปเดตปลั๊กอินเพื่อหลีกเลี่ยงช่องโหว่ที่ร้ายแรงนี้

อ่านรายงาน WordFence เกี่ยวกับช่องโหว่ที่นี่:

ช่องโหว่ที่มีความรุนแรงสูงได้รับการแก้ไขแล้วในรูปแบบนินจา

แหล่งข้อมูลเพิ่มเติม