Ninja Form WordPress phổ biến gần đây đã cập nhật plugin của họ để sửa một lỗ hổng nghiêm trọng. Tính dễ bị tổn thương được phân loại là mức độ nghiêm trọng cao vì nó có thể cho phép kẻ tấn công đánh cắp quyền truy cập vào cấp quản trị viên và chiếm lấy toàn bộ trang web.
Dễ bị tổn thương cho giả mạo chéo trang web
Việc khai thác gây ra điều này được gọi là giả mạo trên một số trang web. Loại lỗ hổng này khai thác việc thiếu kiểm tra bảo mật thông thường, sau đó cho phép kẻ tấn công tải lên hoặc thay thế các tệp và thậm chí có quyền truy cập quản trị.
Đây là cách trang web liệt kê điểm yếu phổ biến mô tả loại lỗ hổng này:
"Ứng dụng web không xác minh hoặc không thể đầy đủ nếu người dùng gửi yêu cầu cố ý gửi yêu cầu hợp lệ, nhất quán và được định dạng tốt.
Có thể kẻ tấn công có thể lừa khách hàng thực hiện một yêu cầu không chủ ý đến máy chủ web, điều này sẽ được coi là một yêu cầu chính hãng. Càng và có thể dẫn đến phơi nhiễm dữ liệu hoặc thực thi mã ngẫu nhiên. "
Ninja tạo ra lỗ hổng trọng lực cao
WordFence WordPress Security đã phát hiện ra việc khai thác và thông báo ngay lập tức cho các biên tập viên của plugin Ninja Forms WordPress. Ninja Forms ngay lập tức khắc phục vấn đề bảo mật trong vòng 24 giờ.
Theo WordFence, lỗ hổng bảo mật ở chế độ "cũ hơn" được kiểm soát đối với các tính năng tạo kiểu được hoàn nguyên về phiên bản trước đó. Đây là một phần của mã đã bị ảnh hưởng.
Dưới đây là cách WordFence mô tả nó:
"Mặc dù tất cả các tính năng này được sử dụng kiểm tra dung lượng, hai trong số các tính năng không thể xác minh thiếu sót, được sử dụng để xác minh rằng yêu cầu được gửi bởi người dùng hợp pháp.
Một tập lệnh độc hại chạy trong trình duyệt của quản trị viên có thể được sử dụng để thêm tài khoản quản trị mới, điều này sẽ dẫn đến việc tiếp quản hoàn toàn trang web, trong khi tập lệnh độc hại chạy trong trình duyệt của khách truy cập có thể được sử dụng để chuyển hướng khách truy cập đó. đến một trang web độc hại "
Ninja Forms Changelog
Các biên tập viên của plugin Ninja Forms đã kịp thời cập nhật plugin của họ. Họ cũng phản ánh trung thực những gì bản cập nhật nói về nhật ký thay đổi của họ.
Nhật ký thay đổi là lời giải thích về những gì đã thay đổi trong bản cập nhật phần mềm. Một số nhà sản xuất plugin cố gắng che giấu những gì bản cập nhật nói về mà không đề cập đến lỗ hổng.
Ninja Forms đã báo cáo trung thực những gì bản cập nhật nói về. Điều này rất quan trọng đối với các nhà xuất bản vì nó cảnh báo họ nếu có gì đó cần được cập nhật ngay lập tức hoặc nếu nó có thể chờ.
Điều này cho thấy Ninja Forms là một trình chỉnh sửa plugin WordPress đáng tin cậy và có trách nhiệm.
Cập nhật biểu mẫu Ninja ngay bây giờ
Tất cả các nhà xuất bản sử dụng Ninja Forms được nhắc cập nhật plugin Ninja Forms của họ ngay lập tức. Phiên bản Ninja Forms 3.40,24.2 Đây là phiên bản mới nhất. Nếu bạn có phiên bản cũ hơn, bạn phải cập nhật plugin của mình để tránh lỗ hổng nghiêm trọng này.
Đọc báo cáo lỗ hổng WordFence tại đây:
Lỗ hổng với độ khó cao được vá trên các hình thức Ninja
