Mobilné Správy, Gadgety, Blogy's Secenziami

Chyba zabezpečenia doplnku Ninja Forms WordPress

Populárny doplnok formulárov WordPress Ninja Form nedávno aktualizoval svoj doplnok, aby opravil vážnu zraniteľnosť. Táto zraniteľnosť je klasifikovaná ako vysoká závažnosť, pretože by mohla útočníkovi umožniť ukradnúť prístup na úrovni správcu a prevziať celú webovú stránku.

Chyba falšovania žiadosti na viacerých stránkach

Exploit, ktorý to spôsobuje, sa nazýva falšovanie žiadostí na viacerých stránkach. Tento typ zraniteľnosti využíva nedostatok normálnej bezpečnostnej kontroly, ktorá potom umožňuje útočníkovi nahrávať alebo nahrádzať súbory a dokonca získať administratívny prístup.

Tu je návod, ako web Common Weakness Enumeration popisuje tento typ zraniteľnosti:

„Webová aplikácia neoveruje alebo nemôže dostatočne overiť, či používateľ, ktorý žiadosť odoslal, úmyselne poskytol platnú, konzistentnú a dobre podanú žiadosť.

… Útočník by mohol prinútiť klienta, aby na webový server podal neúmyselnú žiadosť, ktorá sa bude považovať za skutočnú požiadavku. … a môže viesť k vystaveniu údajov alebo neúmyselnému vykonaniu kódu. ““

Zraniteľnosť Ninja predstavuje závažnú závažnosť

WordFence WordPress Security objavil zneužitie a okamžite upozornil redaktorov doplnku Ninja Forms WordPress. Ninja Forms okamžite napravila túto chybu zabezpečenia do 24 hodín.

Podľa WordFence bola táto chyba zabezpečenia obsiahnutá v „starom“ režime, ktorý ovládal funkcie stylingu, ktoré sa vrátili k predchádzajúcej verzii. Bola ovplyvnená táto časť kódu.

Takto to popisuje WordFence:

„Zatiaľ čo všetky tieto funkcie používali kontrolu kapacity, dve z týchto funkcií neboli schopné overiť necesy, ktoré sa používajú na overenie toho, či legitímny užívateľ úmyselne predložil žiadosť.

… Škodlivý skript vykonaný v prehliadači správcu sa mohol použiť na pridanie nových správcovských účtov, čo by viedlo k úplnému prevzatiu stránky, zatiaľ čo škodlivý skript vykonaný v prehliadači návštevníka by sa mohol použiť na presmerovanie tohto návštevníka. na škodlivý web “

Ninja Forms Changelog

Redaktori doplnku Ninja Forms zodpovedne aktualizovali svoj doplnok včas. Úprimne odzrkadľovali aj to, o čom je aktualizácia v ich changelogu.

Protokol zmien je vysvetlenie toho, čo sa zmenilo v aktualizácii softvéru. Niektorí výrobcovia doplnkov sa snažia skryť, o čom aktualizácia bola, bez uvedenia zraniteľností.

Ninja Forms úprimne informovala o tom, čo sa týka aktualizácie. Je to veľmi dôležité pre vydavateľov, pretože ich upozorňuje na to, či je potrebné niečo aktualizovať okamžite alebo či môže čakať.

To ukazuje, že Ninja Forms je dôveryhodný a zodpovedný editor doplnkov WordPress.

Aktualizujte formuláre Ninja teraz

Všetci vydavatelia, ktorí používajú formuláre Ninja, sa vyzývajú, aby svoj doplnok Ninja Forms okamžite aktualizovali. Verzia formulárov Ninja 3,4.24.2 je to najnovšia verzia. Ak máte staršiu verziu, musíte aktualizovať svoj doplnok, aby ste sa vyhli tejto vážnej zraniteľnosti.

Prečítajte si správu o zraniteľnosti systému WordFence tu:

Na formulároch Ninja bola opravená veľká chyba zabezpečenia

Viac zdrojov

Table of Contents