یک میلیون سایت تحت تأثیر قرار گرفت: چهار آسیب پذیری شدید در فرم های نینجا

اسفند 3, 1399
ارسال شده توسط
اخبار امنیتی وردپرس, امنیت وردپرس
فهرست محتوا پنهان
آسیب پذیری اول
آسیب پذیری دوم
آسیب پذیری سوم
آسیب پذیری چهارم
در تاریخ 20 ژانویه 2021 ، تیم Threat Intelligence وردفنس با  چهار آسیب پذیری را در افزونه نینجا فرمز  که بیش از یک میلیون سایت از آن استفاده می کردند ، فاش کردند. یکی از این نقایص این امکان را به مهاجمین می دهد تا مدیران سایت را به مکان های دلخواه هدایت کنند. نقص دوم این امکان را برای مهاجمان با سطح دسترسی مشترک یا بالاتر برای نصب افزونه ای فراهم کرده است که می تواند برای رهگیری تمام ترافیک ایمیل استفاده شود. اشکال سوم این امکان را برای مهاجمان با دسترسی سطح مشترک به بازیابی کلید اتصال Ninja OAuth که می تواند برای ایجاد ارتباط با داشبورد مدیریت مرکزی Ninja Forms استفاده شود ، فراهم می کند. اشکال نهایی این امکان را برای مهاجمان فراهم می کند تا در صورت فریب مدیر سایت برای انجام عملی ، اتصال OAuth یک سایت را قطع کنند. از این نقص ها می توان برای در اختیار گرفتن یک سایت وردپرس و هدایت صاحبان سایت به سایت های مخرب استفاده کرد.
تیم Threat Intelligence وردفنس در ابتدا از طریق تماس با ایمیل به Saturday Drive ، در 20 ژانویه 2021  این مشکلات را اعلام کرد. فقط چند روز بعد ، در 25 ژانویه 2021 ، نینجا فرمز وصله ای را برای 3 مورد از 4 آسیب پذیری منتشر کرد. ما پیگیری کردیم تا به آنها اطلاع دهیم که یکی از نقاط آسیب پذیر هنوز هم وجود دارد. آنها وصله نهایی را در 8 فوریه 2021 منتشر کردند. ما این آسیب پذیری های شدید را در نظر می گیریم که در نهایت می توانند منجر به هک کامل سایت شوند ، بنابراین ، ما به شدت توصیه می کنیم بلافاصله به نسخه کاملاً وصله داده شده ، 3.4.34.1 ، بروزرسانی کنید. کاربرانی که از افزونه وردفنس پرمیوم استفاده می کنند، یک قانون فایروال برای محافظت در برابر هرگونه سو استفاده از این آسیب پذیری ها در 20 ژانویه 2021 دریافت کردند. سایت هایی که هنوز از نسخه رایگان وردفنس استفاده می کنند در 19 فوریه 2021 از همین محافظت برخوردار می شوند.

آسیب پذیری اول

توضیحات آسیب پذیری: Authenticated SendWP Plugin Installation and Client Secret Key Disclosure

افزونه: Ninja Forms Contact Form

نسخه: کمتر یا مساوی 3.4.33

شناسه CVE: در صف

امتیاز CVSS: بحرانی (9.9)

CVSS Vector ا: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

نسخه کاملا وصله شده افزونه آسیب پذیر: 3.4.34

 

 

آسیب پذیری دوم

توضیحات آسیب پذیری: Authenticated OAuth Connection Key Disclosure

افزونه: Ninja Forms Contact Form

نسخه: کمتر یا مساوی 3.4.33

شناسه CVE: در صف

امتیاز CVSS: بالا(7.7)

CVSS Vector ا: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N

نسخه کاملا وصله شده افزونه آسیب پذیر: 3.4.34.1

 

آسیب پذیری سوم

توضیحات آسیب پذیری: Administrator Open Redirect

افزونه: Ninja Forms Contact Form

نسخه: کمتر یا مساوی 3.4.33

شناسه CVE: در صف

امتیاز CVSS: متوسط(4.8)

CVSS Vector ا: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

نسخه کاملا وصله شده افزونه آسیب پذیر: 3.4.34

 

 

آسیب پذیری چهارم

توضیحات آسیب پذیری: Cross-Site Request Forgery to OAuth Service Disconnection

افزونه: Ninja Forms Contact Form

نسخه: کمتر یا مساوی 3.4.33

شناسه CVE: در صف

امتیاز CVSS: متوسط(6.1)

CVSS Vector ا: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:L

نسخه کاملا وصله شده افزونه آسیب پذیر: 3.4.34

درباره اسماعیل منصوری

از سال ۱۳۸۹ با طراحی سایت با زبانهای برنامه نویسی شروع کردم. خیلی زمانبر و دردسر داشت. اما الان طراحی سایت بدون کدنویسی را در زمانی کمتر و براحتی انجام میدم. دانلود رایگان ۲ فصل اول کتاب راز طراحی سایت بدون کدنویسی

دیدگاهتان را بنویسید