Как опытный веб-мастер с более чем десятилетним практическим опытом, я не могу переоценить важность постоянного информирования и бдительности в отношении потенциальных уязвимостей в плагинах, которые мы используем ежедневно. Недавние рекомендации Fluent Forms относительно Ninja Forms и плагина контактной формы являются ярким напоминанием о том, что никто не застрахован от угроз безопасности, даже самые популярные плагины контактной формы WordPress.
Уведомления, предупреждающие пользователей о проблемах безопасности, обнаруженных в двух часто используемых плагинах контактных форм WordPress, могут затронуть около 1,1 миллиона сайтов. Пользователям настоятельно рекомендуется обновить свои плагины до последних версий, чтобы обеспечить их защиту.
+1 миллион установок контактных форм WordPress
Затронутые плагины контактной формы — это Ninja Forms (более 800 000 установок) и плагин контактной формы от Fluent Forms (более 300 000 установок). Уязвимости не связаны друг с другом и возникают из отдельных недостатков безопасности.
На Ninja Forms влияет неспособность экранировать URL-адрес, что может привести к отраженной атаке с использованием межсайтовых сценариев (отраженный XSS), а уязвимость Fluent Forms связана с недостаточной проверкой возможностей.
Ninja Forms отражает межсайтовый скриптинг
Уязвимость отраженного межсайтового скриптинга (XSS), присутствующая в плагине Ninja Forms, потенциально может быть использована злоумышленниками. Обманув администратора, заставив его щелкнуть ссылку, он может получить доступ к привилегиям администратора веб-сайта. В настоящее время эта уязвимость оценивается, и оценка уровня угрозы общей системы оценки уязвимостей (CVSS) еще не присвоена.
В Fluent Forms отсутствует авторизация
В плагине контактной формы Fluent Forms отсутствует проверка возможностей, что может привести к несанкционированной возможности изменения API (API — это мост между двумя разными программами, который позволяет им взаимодействовать друг с другом).
Чтобы воспользоваться этой слабостью, злоумышленник должен сначала получить авторизацию на уровне подписчика, что может произойти на сайтах WordPress, на которых включена регистрация подписчиков, но невозможно для тех, у кого ее нет. Этой уязвимости присвоен средний уровень угрозы — 4,2 из 10.
Плагин контактной формы, созданный Fluent Forms и используемый для создания викторин, опросов и форм перетаскивания в WordPress, имеет проблему безопасности. Эта проблема позволяет неавторизованным пользователям обновить возможность обновления Malichimp (ключ API Mailchimp обновляется до ключа API Mailchimp из-за неадекватной проверки возможностей в функцииverifyRequest во всех версиях до 5.1.18 включительно.
<р>1. Благодаря функции изменения ключа API Mailchimp менеджеры форм, имеющие уровень доступа до «Подписчики», могут настроить ключ, используемый при интеграции. В то же время, если ключ API Mailchimp не проверен, это может привести к перенаправлению запросов на интеграцию на сервер, контролируемый злоумышленником.
Рекомендуемое действие
Пользователям обоих плагинов контактных форм (Fluent Forms и Ninja Forms) рекомендуется обновить их до последних версий. В настоящее время Fluent Forms имеет версию 5.2.0, а самая последняя версия плагина Ninja Forms — 3.8.14.
Прочитайте рекомендации NVD для плагина контактной формы Ninja Forms: CVE-2024-7354
Прочитайте рекомендации NVD для контактной формы Fluent Forms: CVE-2024
Просмотрите предупреждение Wordfence о контактной форме Fluent Forms:
Смотрите также
- Акции SBER. Сбербанк: прогноз акций.
- Поисковые запросы Bing, которые могут вам понравиться
- Учебное пособие по Google Рекламе: как использовать улучшения видео с помощью искусственного интеллекта
- Почему контент важен для SEO
- Акции KZOS. Казаньоргсинтез: прогноз акций.
- Акции MSRS. Россети Московский регион: прогноз акций.
- Акции ROSN. Роснефть: прогноз акций.
- Google обновляет всю документацию по сканеру
- Акции ALRS. АЛРОСА: прогноз акций.
- Акции привилегированные LNZLP. Лензолото: прогноз акций привилегированных.
2024-09-03 20:38