忍者フォームの欠陥WordPressプラグインが100万のウェブサイトを公開 - JA

忍者フォームの欠陥WordPressプラグインが100万のウェブサイトを公開NinjaFormsWordPressプラグインの4つの新しいセキュリティの脆弱性が報告されました. Ninja Formsプラグインを使用すると、ユーザーは ドラッグアンドドロップ機能 簡単に, そしてそれはWordPressリポジトリで非常に人気があります, 100万のサイトで使用されているため.

100万以上のWordPressウェブサイトに影響を与える, 欠陥はさまざまな悪意のある結果を引き起こす可能性があります, 任意の場所へのリダイレクトなど, すべてのメールトラフィックを傍受, 認証キーの取得, このキーを切断して、サイト管理者をだましてアクションを実行させます. 短編小説, 脆弱性は、WordPressサイトを乗っ取り、所有者を悪意のあるサイトにリダイレクトすることを目的とした攻撃に展開される可能性があります.

NinjaFormsWPプラグインの脆弱性

最初の脆弱性が評価されます 致命的 「認証されたSendWPプラグインのインストールとクライアントの秘密鍵の開示」として知られています。このバグは、さまざまなサービスを提供できるアドオンをインストールするプラグインの機能に起因します.

これらのサービスの1つはSendWPです, これは、WordPressでのメール処理を簡単にすることを目的としたメール配信およびロギングサービスです。. NinjaFormプラグインのアドオンダッシュボードから, 数回クリックするだけでこのサービスを設定する機能を提供します. この機能を提供するために, プラグインはAJAXアクションwp_ajax_ninja_forms_sendwp_remote_installを登録します,」 ワードフェンスの研究者は説明しました.

AJAXアクションにはナンス保護がなかったことが判明しました, 低レベルのユーザーがSendWPプラグインをインストールしてアクティブ化し、SendWP接続の確立に使用されるclient_secretキーを取得できるようにします.

なぜこれが問題なのですか?

client_secretキーはAJAXリクエストで返されるため, 脆弱なWordPressサイトへの低レベルのアクセス権を持つ攻撃者は、自分のSendWPアカウントでSendWP接続を確立する可能性があります. これにより、オープン登録のサイトは特に脆弱になります, 研究者は警告した.

それがすべてではありません, でも. 攻撃者がアカウントのユーザー名を発見する可能性がある場合, また、このアカウントのパスワードリセットをトリガーする可能性もあります. これらのアクションの影響は、リモートでコードが実行されることです。:

パスワードリセットリンクが記載されたパスワードリセットメールは、攻撃者のSendWPアカウントに記録されます。, これを使用して、管理者のパスワードをリセットし、サイトへの管理アクセスを取得できます。. これにより、テーマ/プラグインファイルを変更したり、悪意のあるテーマ/プラグインをアップロードしたりして、リモートでコードが実行されたり、サイトが乗っ取られたりする可能性があります。.

他の3つの脆弱性は、「認証されたSendWPプラグインのインストールとクライアントの秘密鍵の開示」の問題ほど深刻ではありません。. それらの1つは高く評価されています, および他の2つ–中. 良いニュースは、4つの欠陥すべてがバージョンで完全に修正されたことです 3.4.34.1 忍者フォームプラグインの. プラグインのユーザーの場合, 利用可能な最新バージョンにすぐに更新する必要があります, 現在のバージョンです 3.5.0.

WordPressに関連する最新のセキュリティリスクに関する情報を常に入手したい場合, HowToHosting.guideに注目してください. 最も重要なニュースを取り上げます.

便利なWordPressのヒント

上 5 あなたのウェブサイトを保護するためのワードプレスのセキュリティプラグイン

復元する方法Wordpressをデフォルト設定に復元する

調査・執筆者:
HowToHosting 編集者
HowToHosting.guideは、ブログやウェブサイトの作成プロセスに関する専門知識と洞察を提供します。, 適切なホスティングプロバイダーを見つける, そしてその間にあるすべてのもの. 続きを読む...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

この Web サイトでは、ユーザー エクスペリエンスを向上させるために Cookie を使用しています. 当社のウェブサイトを使用することにより、当社の規定に従ってすべてのクッキーに同意したことになります プライバシーポリシー.
同意します
HowToHosting.Guideで, 私たちは透明性のあるウェブホスティングレビューを提供します, 外部の影響からの独立性を確保する. すべてのレビューに厳格で一貫した基準を適用するため、評価は公平です。.
紹介されている企業の一部からアフィリエイト手数料を得る場合がありますが、, これらの手数料はレビューの完全性を損なったり、ランキングに影響を与えることはありません.
アフィリエイトの収益はアカウント獲得のカバーに貢献します, 試験費用, メンテナンス, ウェブサイトや社内システムの開発.
信頼できるホスティングの洞察と誠実さのためにhowtohosting.guideを信頼してください.