Kerentanan Plugin WordPress Bentuk Ninja
Formulir Ninja WordPress yang populer baru-baru ini memperbarui pluginnya untuk menambal kerentanan kritis. Kerentanan diklasifikasikan sebagai tingkat keparahan tinggi karena dapat memungkinkan penyerang mencuri akses tingkat admin dan mengambil alih seluruh situs web.
Permintaan pemalsuan lintas situs
Eksploitasi yang menyebabkan ini dikenal sebagai pemalsuan permintaan lintas situs. Jenis kerentanan ini mengeksploitasi kurangnya pemeriksaan keamanan, kemudian memungkinkan penyerang untuk mengunggah atau mengganti file dan bahkan mendapatkan akses administratif.
Inilah cara situs web kelemahan umum menjelaskan jenis kerentanan ini:
Aplikasi web melakukan atau tidak dapat sepenuhnya memverifikasi apakah pengguna yang mengajukan permintaan dengan sengaja memberikan permintaan yang valid, konsisten, dan disusun dengan baik.
Ada kemungkinan penyerang dapat mengelabui klien agar membuat permintaan yang tidak diinginkan ke server web, yang akan dianggap sebagai permintaan asli. … dan dapat menyebabkan paparan data atau eksekusi kode yang tidak disengaja. “
Bentuk ninja rentan terhadap gravitasi tinggi
WordFence WordPress Security menemukan eksploit dan segera memberi tahu editor plugin Ninja Forms WordPress. Ninja Forms segera menambal kerentanan dalam waktu 24 jam.
Menurut WordFence, kerentanan terkandung dalam mode “warisan” yang dikontrol untuk fitur penataan gaya yang dikembalikan ke versi sebelumnya. Berikut adalah bagian dari kode yang terpengaruh.
Begini cara WordFence menjelaskannya:
Sementara semua fungsi ini digunakan untuk pemeriksaan kapasitas, dua fungsi tidak dapat memverifikasi kekuatan, yang digunakan untuk memverifikasi bahwa permintaan sengaja diajukan oleh pengguna yang sah.
Skrip berbahaya yang dijalankan di browser Administrator dapat digunakan untuk menambahkan akun admin baru, yang akan mengakibatkan pengambilalihan situs secara total, sementara skrip berbahaya dijalankan. di browser pengunjung dapat digunakan untuk mengarahkan ulang pengunjung tersebut. ke situs web jahat”
Log Perubahan Bentuk Ninja
Editor plugin Ninja Forms bertanggung jawab untuk memperbarui plugin mereka tepat waktu. Mereka juga secara jujur mencerminkan apa yang dikatakan pembaruan tentang changelog mereka.
Log perubahan adalah penjelasan tentang apa yang berubah dalam pembaruan perangkat lunak. Beberapa pembuat plugin mencoba menyembunyikan tentang pembaruan tersebut tanpa menyebutkan kerentanannya.
Ninja Forms dengan jujur melaporkan tentang pembaruan itu. Ini penting bagi penerbit karena memberi tahu mereka apakah pembaruan diperlukan segera atau dapat menunggu.
Ini menunjukkan bahwa Ninja Forms adalah editor plugin WordPress yang andal dan bertanggung jawab.
Perbarui formulir Ninja sekarang
Semua penerbit yang menggunakan Formulir Ninja didorong untuk segera memperbarui plugin Formulir Ninja mereka. Ninja Forms versi 3.4.24.2 ini adalah versi terbaru Jika Anda memiliki versi yang lebih lama, Anda harus memperbarui plugin Anda untuk menghindari kerentanan kritis ini.
Baca laporan WordFence tentang kerentanan di sini:
Kerentanan Tingkat Keparahan Tinggi Ditambal pada Formulir Ninja
