qwanturank

Le plugin WordPress Forms populaire Ninja Form a récemment mis à jour son plugin pour corriger une vulnérabilité grave. La vulnérabilité est classée comme étant très sévère car elle pourrait permettre à un attaquant de voler un accès de niveau administrateur et de reprendre l’intégralité du site Web.

Vulnérabilité de falsification de demande intersite

L’exploit à l’origine de ce problème s’appelle la contrefaçon de demande intersiteVoici comment le site Common Weakness Enumeration décrit ce type d’exploit: »L’application Web ne vérifie pas ou ne peut pas suffisamment vérifier si une demande bien formée, valide et cohérente a été intentionnellement fournie par l’utilisateur qui a soumis la demande.… Il pourrait être possible pour un attaquant d’inciter un client à faire une demande involontaire au serveur Web qui sera traitée comme une demande authentique. … Et peut entraîner l’exposition de données ou l’exécution involontaire de code. « 

Ninja crée une vulnérabilité de gravité élevée

WordFence WordPress Security a découvert l’exploit et a immédiatement informé les éditeurs du plugin WordPress Ninja Forms. Ninja Forms a immédiatement corrigé la vulnérabilité de sécurité dans les 24 heures.Selon WordFence, la vulnérabilité était contenue dans un mode « hérité » qui contrôlait les fonctionnalités de style qui revenaient à une ancienne version. C’est cette partie du code qui a été affectée.Voici comment WordFence le décrit:« Bien que toutes ces fonctions aient utilisé des vérifications de capacité, deux des fonctions n’ont pas réussi à vérifier les nonces, qui sont utilisés pour vérifier qu’une demande a été intentionnellement envoyée par un utilisateur légitime.… Un script malveillant exécuté dans le navigateur d’un administrateur pourrait être utilisé pour ajouter de nouveaux comptes administratifs, ce qui entraînerait une prise de contrôle complète du site, tandis qu’un script malveillant exécuté dans le navigateur d’un visiteur pourrait être utilisé pour rediriger ce visiteur vers un site malveillant. « 

Journal des modifications de Ninja Forms

Les éditeurs du plugin Ninja Forms ont mis à jour leur plugin de manière responsable en temps opportun. Ils ont également reflété honnêtement le sujet de la mise à jour dans leur journal des modifications.Un journal des modifications est une explication de ce qui a changé dans une mise à jour logicielle. Certains fabricants de plugins essaient de cacher le sujet de la mise à jour en ne mentionnant pas les vulnérabilités.Ninja Forms a honnêtement rapporté le sujet de la mise à jour. C’est très important pour les éditeurs car cela les avertit si quelque chose doit être mis à jour immédiatement ou s’il peut attendre.Cela montre que Ninja Forms est un éditeur de plugins WordPress fiable et responsable.

Mettre à jour les formulaires Ninja maintenant

Tous les éditeurs utilisant Ninja Forms sont invités à mettre immédiatement à jour leur plugin Ninja Forms. Ninja Forms Version 3.4.24.2 est la dernière version. Si vous avez une version antérieure, vous devez mettre à jour votre plugin pour éviter cette vulnérabilité graveVulnérabilité de gravité élevée corrigée sous des formes Ninja

Vulnérabilité du plugin WordPress dans Ninja Forms

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments