آسیب پذیری افزونه وردپرس نینجا را شکل می دهد

افزونه محبوب WordPress Forms Ninja Form به تازگی افزونه خود را به روز کرده است تا آسیب پذیری شدید را به همراه داشته باشد. این آسیب پذیری از شدت بالایی برخوردار است زیرا می تواند به یک مهاجم اجازه دهد سطح دسترسی مدیر را بدزد و کل وب سایت را به دست گیرد.

آسیب پذیری جعلی درخواست متقابل سایت

سوءاستفاده ای که باعث این امر شده است ، درخواست جعلی درخواست متقابل است. این نوع آسیب پذیری از فقدان یک بررسی امنیتی عادی سوءاستفاده می کند و سپس به یک مهاجم اجازه می دهد تا پرونده ها را بارگذاری یا جایگزین کند و حتی به دسترسی اداری نیز دست یابد.

این گونه است که سایت ضعف مشترک ، این نوع سوء استفاده را شرح می دهد:

وی گفت: “برنامه وب تأیید نمی کند ، یا نمی تواند ، به اندازه کافی تأیید کند که آیا یک درخواست کاملاً شکل گرفته ، معتبر و سازگار به عمد توسط کاربر ارائه دهنده درخواست ارائه شده است.

… ممکن است یک مهاجم بتواند مشتری را فریب دهد تا درخواست غیر عمدی به سرور وب ارائه دهد که به عنوان یک درخواست معتبر با آنها برخورد شود. … و می تواند منجر به قرار گرفتن در معرض داده ها یا اجرای کد ناخواسته شود. “

آسیب پذیری شدید نینجا را تشکیل می دهد

WordFence WordPress Security سوء استفاده را کشف کرد و بلافاصله به ناشران پلاگین Ninja Forms WordPress اطلاع داد. نینجا فرم بلافاصله در عرض 24 ساعت آسیب پذیری امنیتی را برطرف می کند.

مقاله پیشنهادی  وردپرس 5.5.1 میلیون ها سایت شکسته را برطرف می کند

طبق گفته های WordFence ، این آسیب پذیری در یک حالت “میراث” وجود داشت که ویژگی های یک ظاهر طراحی شده را که به نسخه قدیمی تر برگردانده شده بود ، کنترل می کرد. این قسمت از کد است که تحت تأثیر قرار گرفت.

اینگونه WordFence توصیف می کند:

وی گفت: “در حالی که همه این توابع از بررسی قابلیت ها استفاده می کردند ، دو مورد از این کارها برای بررسی عدم وجود استفاده نشدند ، که برای تأیید اینکه یک درخواست به طور عمدی توسط یک کاربر قانونی ارسال شده است ، به کار می روند.

… از یک اسکریپت مخرب که در مرورگر سرپرست اجرا شده است می تواند برای اضافه کردن حسابهای جدید اداری استفاده کند ، و منجر به کامل گرفتن سایت می شود ، در حالی که می توان از یک اسکریپت مخرب که در مرورگر بازدید کننده بازدید می شود برای هدایت مجدد آن بازدید کننده به یک سایت مخرب استفاده کرد. “

تصویر صفحه تغییر اشکال نینجا

تغییرات فرم نینجا

ناشران افزونه Ninja Forms با مسئولیت پذیری افزونه خود را به موقع بروزرسانی می کنند. آنها همچنین صادقانه منعکس کردند که چه چیزی در بروزرسانی مربوط به بروزرسانی است.

مقاله پیشنهادی  چگونه چندین شهر را هدف قرار دهیم بدون اینکه به SEO خود آسیب بزنیم

changelog توضیحی است که در یک به روزرسانی نرم افزار تغییر کرده است. برخی از سازندگان افزونه با ذکر نکردن آسیب پذیری سعی در پنهان کردن بروزرسانی در مورد آن دارند.

Ninja Forms صادقانه گزارش داد که چه خبر از بروزرسانی است. این برای ناشران بسیار مهم است زیرا به آنها هشدار می دهد که آیا باید بلافاصله چیزی به روز شود یا اینکه می تواند صبر کند یا خیر.

مقاله پیشنهادی  آیا می خواهید بیشتر کسب کنید آنلاین؟ بیایید در مورد تبدیل صحبت کنیم

این نشان می دهد که Ninja Forms یک انتشار دهنده افزونه وردپرس قابل اعتماد و مسئول است.

اکنون فرم های نینجا را به روز کنید

از همه ناشران استفاده شده از فرمهای نینجا خواسته می شود بلافاصله افزونه Ninja Forms خود را به روز کنند. فرم های Ninja نسخه 3.4.24.2 جدیدترین نسخه است. اگر نسخه قبلی دارید ، برای جلوگیری از این آسیب پذیری شدید ، باید افزونه خود را به روز کنید.

گزارش WordFence درباره آسیب پذیری را اینجا بخوانید:

آسیب پذیری شدید شدت در فرم های نینجا ضبط شده است