Ninja Forms WordPress Plugin Lỗ hổng

Ninja Form WordPress phổ biến gần đây đã cập nhật plugin của mình để vá một lỗ hổng nghiêm trọng. Lỗ hổng được phân loại là mức độ nghiêm trọng cao vì nó có thể cho phép kẻ tấn công đánh cắp quyền truy cập cấp quản trị viên và chiếm toàn bộ trang web.

Yêu cầu giả mạo chéo trang web

Khai thác gây ra điều này được gọi là giả mạo yêu cầu chéo trang. Loại lỗ hổng này khai thác việc thiếu kiểm tra bảo mật thông thường, sau đó cho phép kẻ tấn công tải lên hoặc thay thế các tệp và thậm chí có quyền truy cập quản trị.

Dưới đây là cách trang web liệt kê điểm yếu phổ biến mô tả loại lỗ hổng này:

Ứng dụng web không hoặc không thể xác minh đầy đủ liệu người dùng đã gửi yêu cầu có chủ ý cung cấp một yêu cầu hợp lệ, nhất quán và được hình thành tốt hay không.

Có thể kẻ tấn công có thể lừa khách hàng thực hiện một yêu cầu ngoài ý muốn đến máy chủ web, đây sẽ được coi là một yêu cầu chính hãng. … và có thể dẫn đến phơi nhiễm dữ liệu hoặc thực thi mã không chủ ý. "

Ninja hình thức dễ bị tổn thương trọng lực cao

WordFence WordPress Security đã phát hiện ra việc khai thác và thông báo ngay lập tức cho các biên tập viên của plugin Ninja Forms WordPress. Ninja Forms ngay lập tức vá lỗ hổng bảo mật trong vòng 24 giờ.

Theo WordFence, lỗ hổng bảo mật được chứa trong chế độ "di sản" được kiểm soát đối với các tính năng tạo kiểu được hoàn nguyên về phiên bản trước. Đây là một phần của mã đã bị ảnh hưởng.

Đây là cách WordFence mô tả nó:

Trong khi tất cả các chức năng này được sử dụng kiểm tra dung lượng, hai trong số các chức năng không thể xác minh các lực lượng, được sử dụng để xác minh rằng một yêu cầu được cố tình gửi bởi người dùng hợp pháp.

Một tập lệnh độc hại được thực thi trong trình duyệt của Quản trị viên có thể được sử dụng để thêm tài khoản quản trị mới, điều này sẽ dẫn đến việc tiếp quản hoàn toàn trang web, trong khi tập lệnh độc hại được thực thi trong trình duyệt của khách truy cập có thể được sử dụng để chuyển hướng khách truy cập đó. đến một trang web độc hại "

Ninja Forms Changelog Ảnh chụp màn hình

Ninja Forms Changelog

Các biên tập viên của plugin Ninja Forms có trách nhiệm cập nhật plugin của họ một cách kịp thời. Họ cũng phản ánh trung thực những gì bản cập nhật nói về thay đổi của họ.

Nhật ký thay đổi là lời giải thích về những gì đã thay đổi trong bản cập nhật phần mềm. Một số nhà sản xuất plugin cố gắng che giấu những gì bản cập nhật nói về mà không đề cập đến lỗ hổng.

Ninja Forms đã báo cáo trung thực những gì bản cập nhật nói về. Điều này rất quan trọng đối với các nhà xuất bản vì nó cảnh báo họ về việc có cần phải cập nhật ngay lập tức hay không nếu có thể chờ đợi.

Điều này cho thấy Ninja Forms là một trình chỉnh sửa plugin WordPress đáng tin cậy và có trách nhiệm.

Cập nhật biểu mẫu Ninja ngay bây giờ

Tất cả các nhà xuất bản sử dụng Ninja Forms được khuyến khích cập nhật ngay lập tức plugin Ninja Forms của họ. Phiên bản Ninja Forms 3.4.24.2 nó là phiên bản mới nhất Nếu bạn có phiên bản cũ hơn, bạn phải cập nhật plugin của mình để tránh lỗ hổng nghiêm trọng này.

Đọc báo cáo WordFence về lỗ hổng ở đây:

Lỗ hổng nghiêm trọng cao được vá trên các hình thức Ninja

Thêm tài nguyên