افزونه نینجا فرم وردپرس دارای اسیب پذیری های متعددی است

افزونه نینجا فرم وردپرس دارای اسیب پذیری های متعددی است

افزونه نینجا فرم وردپرس به تازگی افزونه خود را به روز کرده است تا آسیب پذیری شدید را به همراه داشته باشد. این آسیب پذیری از شدت بالایی برخوردار است زیرا می تواند به یک مهاجم اجازه دهد سطح دسترسی مدیر را بدزد و کل وب سایت را به دست گیرد.

آسیب پذیری جعلی درخواست متقابل سایت

سوءاستفاده ای که باعث این امر شده است ، درخواست جعلی درخواست متقابل است. این نوع آسیب پذیری از فقدان یک بررسی امنیتی عادی سوءاستفاده می کند و سپس به یک مهاجم اجازه می دهد تا پرونده ها را بارگذاری یا جایگزین کند و حتی به دسترسی اداری نیز دست یابد.

شرح این ضعف بدین صورت است:

“برنامه وب تأیید نمی کند ، یا نمی تواند ، به اندازه کافی تأیید کند که آیا یک درخواست کاملاً شکل گرفته ، معتبر و سازگار به عمد توسط کاربر ارائه دهنده درخواست ارائه شده است یا خیر.

… ممکن است یک مهاجم بتواند مشتری را فریب دهد تا درخواست غیر عمدی به سرور وب ارائه دهد که به عنوان یک درخواست معتبر با آنها برخورد شود. … و می تواند منجر به قرار گرفتن در معرض داده ها یا اجرای کد ناخواسته شود. “

آسیب پذیری شدید نینجا فرم را تشکیل می دهد

WordFence WordPress Security سوء استفاده را کشف کرد و بلافاصله به ناشران پلاگین نینجا فرم وردپرس اطلاع داد. نینجا فرم بلافاصله در عرض 24 ساعت آسیب پذیری امنیتی را برطرف می کند.

طبق گفته های WordFence ، این آسیب پذیری در یک حالت “زمینه ای” وجود داشت که ویژگی های یک ظاهر طراحی شده را که به نسخه قدیمی تر برگردانده شده بود ، کنترل می کرد. این قسمت از کد است که تحت تأثیر قرار گرفت.

بیشتر بخوانید : افزونه های وردپرس و نحوه انتخاب بهترین ها برای وردپرس

اینگونه WordFence توصیف می کند:

وی گفت: “در حالی که همه این توابع از بررسی قابلیت ها استفاده می کردند ، دو مورد از این کارها برای بررسی عدم وجود استفاده نشدند ، که برای تأیید اینکه یک درخواست به طور عمدی توسط یک کاربر قانونی ارسال شده است ، استفاده می شود.

… از یک اسکریپت مخرب که در مرورگر سرپرست اجرا شده است می تواند برای اضافه کردن حسابهای جدید اداری استفاده کند ، و منجر به کامل گرفتن سایت می شود ، در حالی که می توان از یک اسکریپت مخرب که در مرورگر بازدید کننده بازدید می شود برای هدایت مجدد آن بازدید کننده به یک سایت مخرب استفاده کرد. “

تغییرات فرم نینجا

ناشران افزونه نینجا فرم با مسئولیت پذیری افزونه را به موقع بروزرسانی می کنند. آنها همچنین صادقانه منعکس کردند که چه چیزی در بروزرسانی جدید وجود دارد changelog توضیحی است که در یک به روزرسانی نرم افزار تغییر کرده است. برخی از سازندگان افزونه با ذکر نکردن آسیب پذیری سعی در پنهان کردن بروزرسانی در مورد آن دارند. نینجا فرم صادقانه گزارش داد که اخباری در رابطه با بروزرسانی را انشتار داده است. این برای ناشران بسیار مهم است زیرا به آنها هشدار می دهد که آیا باید بلافاصله چیزی به روز شود یا اینکه می تواند صبر کند یا خیر.

این نشان می دهد که نینجا فرم یک انتشار دهنده افزونه وردپرس قابل اعتماد و مسئول است.

اکنون فرم های نینجا را به روز کنید

از همه ناشران استفاده شده از فرمهای نینجا خواسته می شود بلافاصله افزونه نینجا فرم خود را به روز کنند. نینجا فرم نسخه 3.4.24.2 جدیدترین نسخه است. اگر نسخه قبلی دارید ، برای جلوگیری از این آسیب پذیری شدید ، باید افزونه خود را به روز کنید.

Share

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *