Ninja Forms: Scoperta Vulnerabilità del Plugin per WordPress

Ninja Forms è uno dei plugin per WordPress più utilizzati in assoluto. Esso, infatti, conta più di un milione di installazioni all’attivo.

Il plugin è un comodo editor drag ‘n’ drop per la creazione di moduli e form di vario genere.

Nelle scorse ore, purtroppo, è stata rilevata una vulnerabilità del plugin che potrebbe mettere a rischio il vostro sito web.

In questo articolo vi spieghiamo come rimuovere questa vulnerabilità.

Ninja Forms

Quale è la vulnerabilità

L’exploit che sta causando problemi si chiama “Cross-Site Request Forgery” (che, letterlmente, significa “contraffazione richiesta tra più siti”).

Questo tipo di vulnerabilità sfrutta la mancanza di un sufficiente controllo di sicurezza. Questa mancanza consente a un utente malintenzionato di caricare o sostituire file su un sito non suo e persino di ottenere l’accesso al pannello di controllo di un sito.

Ecco come il famoso sito Common Weakness Enumeration descrive questo tipo di exploit:

“L’exploit si verifica quando un’applicazione web non verifica o non è in grado di verificare con efficacia se l’utente che ha inviato la richiesta abbia fornito intenzionalmente una richiesta valida e non pericolosa.

Potrebbe essere possibile per un utente malintenzionato indurre un client a presentare una richiesta al server che verrà trattata come una richiesta autentica e valida. Ciò può comportare il furto di dati o l’esecuzione di codice non buono”.

Sostanzialmente, questa vulnerabilità permette di rubare i dati degli utenti e di far prendere il controllo di un sito a malintenzionati.

La scoperta della vulnerabilità di Ninja Forms

Come al solito, i primi a scoprire questa vulnerabilità sono stati gli sviluppatori del famoso plugin WordFence.

Essi hanno avvertito subito gli sviluppatori di Ninja Forms. Questi ultimi hanno immediatamente rilasciato una patch, che ha risolto il problema.

Secondo quanto riferito dagli sviluppatori di WordFence, la vulnerabilità si nascondeva in una funzione del plugin inserita nelle vecchie versioni e mai rimossa.

“Mentre tutte le funzioni del plugin utilizzavano controlli di capacità, due delle funzioni non riuscivano a controllare i nonce, che vengono utilizzati per verificare che una richiesta sia stata inviata intenzionalmente da un utente legittimo.

Uno script dannoso eseguito nel browser di un amministratore potrebbe essere utilizzato per aggiungere nuovi account amministrativi, portando al furto del sito, mentre uno script dannoso eseguito nel browser di un visitatore potrebbe essere utilizzato per reindirizzare quel visitatore a un sito dannoso”.

Il problema, quindi, risiedeva all’interno dei metodi di verifica utilizzati dal plugin.

La risoluzione del problema

Gli sviluppatori di Ninja Forms hanno aggiornato tempestivamente il loro plugin. Essi, inoltre, hanno anche reso pubblico il contenuto dell’aggiornamento nel loro registro degli update.

Ciò è molto importante per gli editori perché li avverte se qualcosa deve essere aggiornato immediatamente o se può aspettare. Inoltre, permette di capire se in passato siamo stati esposti a tali rischi e ci permette di mettere al sicuro il nostro sito.

Ciò dimostra che Ninja Forms è uno sviluppatore di plugin per WordPress affidabile e serio.

Tutti gli editori che utilizzano Ninja Forms sono invitati ad aggiornare immediatamente il loro plugin.

Ninja Forms versione 3.4.24.2 è l’ultima versione rilasciata ed è sicura. Se hai una versione più vecchia, devi assolutamente aggiornare il plugin per evitare questa grave vulnerabilità.

La maggior parte dei siti basati su WordPress creano moduli di contatto con questo potente strumento di marketing.

Ti è piaciuta questa risorsa? Premiaci!
[Totale: 0 Media: 0]
ADV - Articolo con scopo pubblicitario

About Vincenzo Napolitano

Atletico, salutista, non procrastinatore, sensibile. Vincenzo Napolitano non è nulla di tutto ciò. Scrive cose di marketing (soprattutto digitale) per Notizie.Business.

Leggi Anche

Facetime: Apple sfida Zoom

Apple ha annunciato che Facetime sarà compatibile con Android e Windows. Scopriamo insieme come! La …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *