Ninja menciptakan kerentanan untuk plugin WordPress

1 2 minutes read

Formulir Ninja WordPress yang populer baru-baru ini memperbarui plugin mereka untuk memperbaiki kerentanan kritis. Kerentanan diklasifikasikan sebagai tingkat keparahan tinggi karena dapat memungkinkan penyerang mencuri akses tingkat admin dan mengambil alih seluruh situs.

Kerentanan terhadap spoofing lintas situs

Eksploitasi yang menyebabkan ini dikenal sebagai spoofing di beberapa situs web. Jenis kerentanan ini mengeksploitasi kurangnya pemeriksaan keamanan, kemudian memungkinkan penyerang untuk mengunggah atau mengganti file dan bahkan mendapatkan akses administratif.

Inilah cara situs web kelemahan umum menjelaskan jenis kerentanan ini:

“Aplikasi web gagal untuk memverifikasi atau tidak dapat diselesaikan jika pengguna yang mengirimkan permintaan secara sadar mengirimkan permintaan yang valid, konsisten, dan dibuat dengan baik.

Ada kemungkinan penyerang dapat mengelabui klien agar membuat permintaan yang tidak disengaja ke server web, yang akan dianggap sebagai permintaan asli. “Dan dapat menyebabkan paparan data atau eksekusi kode acak. “

Ninja menciptakan lubang gravitasi tinggi

WordFence WordPress Security menemukan eksploit dan segera memberi tahu editor plugin Ninja Forms WordPress. Formulir Ninja segera memperbaiki masalah keamanan dalam waktu 24 jam.

Menurut WordFence, kerentanan keamanan mode “lebih tua” dikendalikan untuk fitur penataan yang dikembalikan ke versi sebelumnya. Berikut adalah bagian dari kode yang terpengaruh.

Begini cara WordFence menjelaskannya:

“Meskipun semua fitur ini digunakan untuk pemeriksaan kapasitas, dua fitur tidak dapat memverifikasi kekurangan, yang digunakan untuk memverifikasi bahwa permintaan diajukan oleh pengguna yang sah.

Skrip berbahaya yang berjalan di browser administrator dapat digunakan untuk menambahkan akun admin baru, yang akan mengakibatkan pengambilalihan situs secara total, sementara skrip berbahaya berjalan di browser browser. pengunjung dapat digunakan untuk mengalihkan pengunjung tersebut. ke situs web jahat”

Log Perubahan Bentuk Ninja

Editor plugin Ninja Forms segera memperbarui plugin mereka. Mereka juga secara jujur mencerminkan apa yang dikatakan pembaruan tentang changelog mereka.

Log perubahan adalah penjelasan tentang apa yang berubah dalam pembaruan perangkat lunak. Beberapa pembuat plugin mencoba menyembunyikan tentang pembaruan tersebut tanpa menyebutkan kerentanannya.

Ninja Forms dengan jujur melaporkan tentang pembaruan itu. Ini penting bagi penerbit karena memberi tahu mereka jika ada sesuatu yang perlu segera diperbarui atau jika bisa menunggu.

Ini menunjukkan bahwa Ninja Forms adalah editor plugin WordPress yang andal dan bertanggung jawab.

Perbarui formulir Ninja sekarang

Semua penerbit yang menggunakan Formulir Ninja diminta untuk segera memperbarui plugin Formulir Ninja mereka. Ninja Forms versi 3.40.24.2 Ini adalah versi terbaru. Jika Anda memiliki versi yang lebih lama, Anda harus memperbarui plugin Anda untuk menghindari kerentanan kritis ini.

Baca laporan kerentanan WordFence di sini:

Kerentanan dengan kesulitan tinggi ditambal pada formulir Ninja

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Kerentanan terhadap spoofing lintas situs

Ninja menciptakan lubang gravitasi tinggi

Log Perubahan Bentuk Ninja

Perbarui formulir Ninja sekarang

Lebih banyak sumber daya

Pos terkait

Venmo Didesak untuk Memperbaiki Aplikasi mereka dan Pasang Cacat Pembajakan Lama

Bose mengumumkan AirPlay 2- Dilengkapi speaker rumah portabel

Apple Meluruskan Rekaman Tentang Operasi Lubang Pengairan Terbaru

Cara menyesuaikan pointer mouse di iPadOS 13: Ubah ukuran, warna dan kecepatan