Sitemap

Ninja Forms Eklentisi Güvenlik Açığı

Popüler WordPress Formları eklentisi Ninja Form, yakın zamanda ciddi bir güvenlik açığını gidermek için eklentilerini güncelledi.Güvenlik açığı, bir saldırganın yönetici düzeyindeki erişimi çalmasına ve tüm web sitesini ele geçirmesine izin verebileceğinden yüksek önem derecesine sahiptir.

Siteler Arası İstek Sahteciliği Güvenlik Açığı

Buna neden olan istismara Siteler Arası İstek Sahteciliği denir.Bu tür bir güvenlik açığı, bir saldırganın dosya yüklemesine veya değiştirmesine ve hatta yönetici erişimi kazanmasına olanak tanıyan normal bir güvenlik denetimi eksikliğinden yararlanır.

Common Weakness Enumeration sitesi bu tür bir istismarı şu şekilde açıklar:

“Web uygulaması, iyi biçimlendirilmiş, geçerli ve tutarlı bir talebin, talebi gönderen kullanıcı tarafından kasıtlı olarak sağlanmış olup olmadığını yeterince doğrulamıyor veya doğrulayamıyor.

…bir saldırganın, bir istemciyi, gerçek bir istek olarak değerlendirilecek olan web sunucusuna kasıtsız bir istekte bulunması için kandırması mümkün olabilir. …ve verilerin açığa çıkmasına veya istenmeyen kod yürütülmesine neden olabilir.”

Ninja, Yüksek Önem Derecesinde Güvenlik Açığı Oluşturuyor

WordFence WordPress Security, açığı keşfetti ve hemen yayıncılara Ninja Forms WordPress eklentisini bildirdi.Ninja Forms, güvenlik açığını 24 saat içinde hemen düzeltti.

WordFence'e göre, güvenlik açığı eski bir sürüme döndürülen stil özelliklerini kontrol eden "eski" bir modda bulunuyordu.Etkilenen kodun bu kısmıdır.

WordFence bunu şu şekilde açıklar:

"Bu işlevlerin tümü yetenek kontrollerini kullanırken, işlevlerden ikisi, bir isteğin meşru bir kullanıcı tarafından kasıtlı olarak gönderildiğini doğrulamak için kullanılan nonces'leri kontrol edemedi.

… Yöneticinin tarayıcısında yürütülen kötü amaçlı bir komut dosyası, yeni yönetim hesapları eklemek için kullanılabilir ve bu da sitenin tamamen ele geçirilmesine yol açarken, bir ziyaretçinin tarayıcısında yürütülen kötü amaçlı bir komut dosyası, bu ziyaretçiyi kötü amaçlı bir siteye yönlendirmek için kullanılabilir.”

Ninja Formları Değişiklik Günlüğü

Ninja Forms eklentisinin yayıncıları, eklentilerini zamanında sorumlu bir şekilde güncelledi.Ayrıca güncellemenin ne hakkında olduğunu dürüstçe değişiklik günlüklerine yansıttılar.

Değişiklik günlüğü, bir yazılım güncellemesinde nelerin değiştiğinin bir açıklamasıdır.Bazı eklenti üreticileri, güvenlik açıklarından bahsetmeyerek güncellemenin ne hakkında olduğunu gizlemeye çalışıyor.

Ninja Forms dürüstçe güncellemenin ne hakkında olduğunu bildirdi.Bu, yayıncılar için çok önemlidir, çünkü onları bir şeyin hemen güncellenmesi gerekip gerekmediği veya bekleyip bekleyemeyeceği konusunda uyarır.

Bu, Ninja Forms'un güvenilir ve sorumlu bir WordPress eklenti yayıncısı olduğunu gösterir.

Ninja Formlarını Şimdi Güncelleyin

Ninja Forms kullanan tüm yayıncıların Ninja Forms eklentilerini hemen güncellemeleri istenmektedir.Ninja Forms Sürüm 3.4.24.2 en son sürümdür.Daha eski bir sürümünüz varsa, bu ciddi güvenlik açığından kaçınmak için eklentinizi güncellemeniz gerekir.

Güvenlik açığıyla ilgili WordFence raporunu buradan okuyun:

Ninja Formlarında Yamalı Yüksek Önem Derecesinde Güvenlik Açığı

Daha fazla kaynak