Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji

Odkryta krytyczna luka w Ninja Forms: może mieć wpływ na więcej niż 1 Milion witryn

Uwaga: Poniższy artykuł pomoże Ci w: Odkryta krytyczna luka w Ninja Forms: może mieć wpływ na więcej niż 1 Milion witryn

Zespół Wordfence Threat Intelligence Team znalazł znaczącą, krytyczną lukę we wtyczce Ninja Forms WordPress.

To jest wtyczka zainstalowana na więcej niż 1 milion witryn.

Jak się okazuje, jest to poważna luka, której wynik w systemie CVVS (Common Vulnerability Scoring System) wynosi 9.8 na skali.

Oznacza to, że luka jest dość poważna.

Co jest nie tak z formularzami Ninja?

Zwykle Ninja Forms umożliwia właścicielom witryn dodawanie do swoich witryn formularzy, które można łatwo dostosować.

Jedna z funkcjonalności Ninja Forms obejmuje możliwość dodawania „Merge Tags” do formularzy, które automatycznie wypełniają wartości z innych sekcji WordPressa.

Możesz automatycznie uzupełniać takie elementy, jak identyfikatory postów i nazwy zalogowanych użytkowników.

Jednak główna wada tej funkcjonalności umożliwiała atakującym przywoływanie różnych klas Form Ninja. Klasy te mogą być potencjalnie wykorzystane do wielu różnych exploitów, których celem są podatne na ataki witryny WordPress.

Ta funkcja scalania tagów sprawdza funkcję is_callable() dostarczonych tagów scalania.

Jeśli wywoływalna klasa wraz z metodą jest również podana jako znacznik scalania, powoduje to wywołanie funkcji i wykonanie kodu.

Ze względu na sposób, w jaki klasa NF_MergeTags_Other obsługuje tego typu tagi, tagi Merge mogą być udostępniane przez nieuwierzytelnionych użytkowników.

The Zespół ds. bezpieczeństwa Wordfence zdeterminowany że spowodowało to krytyczną lukę, która doprowadziła do wielu zmian w exploitach ze względu na używane klasy i funkcje zawarte w wtyczce Ninja Forms.

Jednym z krytycznych exploitów, na który Wordfence zwrócił uwagę, jest klasa NF_Admin_Processes_ImportForm.

Ten konkretny exploit umożliwia atakującym osiągnięcie tak zwanego „zdalnego wykonania kodu poprzez deserializację”.

Wordfence zauważył jednak również, że aby exploit był skuteczny, należy zainstalować inną wtyczkę lub motyw, który zawiera przydatne gadżety na stronie.

Podejmij działania i zaktualizuj swoje wtyczki

Jeśli uważasz, że bezpieczeństwo Twojej witryny zostało naruszone z powodu tej luki, koniecznie zaktualizuj wtyczki tak szybko, jak to możliwe.

Istnieją również inne kroki, które mogą być konieczne do podjęcia zgodnie z ich post.

Według Wordfence luka została w pełni załatana w następujących wersjach:

  • 3.0.34.2,
  • 3.1.10,
  • 3.2.28,
  • 3.3.21.4,
  • 3.4.34.2,
  • 3.5.8.4,
  • 3.6.11

Jeśli jeszcze tego nie zrobiono, Wordfence zdecydowanie zaleca jak najszybsze zaktualizowanie witryny do jednej z powyższych wersji z poprawkami.

Table of Contents