WordPress: nog een kwetsbaarheid in de Ninja Forms-plug-in


Er is momenteel een beveiligingsprobleem in de formulierplug-in Ninja Forms. Dit geldt voor alle versies tot en met 3.6.3. Volgens de informatie van wpscan.com, de WordPress-beveiligingsscanner, is het probleem dat de invoer uit de velden die via de POST-methode worden verzonden, niet is gemaskeerd.

Wat de beperkingen op “gebruikers met hoge rechten” precies inhouden, is tot nu toe onduidelijk. Zou in ieder geval potentieel zijn SQL-injecties mogelijk. Hierdoor zouden waarschijnlijk databasequery’s via invoervelden kunnen worden binnengesmokkeld, die vervolgens bijvoorbeeld gegevens uitlezen of manipuleren.

Ninja Forms is een veelgebruikte WordPress-plug-in, die kunnen worden gebruikt om formulieren te maken die bezoekers van de site kunnen invullen. Aangezien de telmethode pas vanaf een miljoen erg grof is, ligt het werkelijke aantal websites waarop Ninja Forms is geactiveerd tussen de één en twee miljoen. Grote delen van het web zouden dus worden beïnvloed door de beveiligingslacune.

de huidige versie 3.6.4 van de plug-in, die ongeveer 24 uur geleden werd gepubliceerd, lost het probleem op. In de changelogs wordt de eliminatie van de kwetsbaarheid vermeld:

Screenshot van de officiële plugin directory: Het huidige beveiligingslek is gedicht

(Afbeelding: Ninja-formulieren)

Er is momenteel geen gedetailleerde beschrijving van hoe dit beveiligingslek kan worden misbruikt met de identifier CVE-2021-24889. Maar op 4 november willen de ontwikkelaars een zogenaamde proof-of-concept publiceren die dit illustreert. Alle gebruikers van de plug-in wordt dringend aangeraden Ninja Forms uiterlijk tegen die tijd te updaten naar versie 3.6.4.

Ninja Forms was alweer een paar weken geleden een beveiligingsfout getroffen. Het probleem eind september betrof onbeschermde verzoeken via de REST API, waardoor aanvallers konden skim off gevoelige gegevens of Voer e-mailinjecties uit.


(mack)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: