Ninja Forms SQL injection ενημερώστε άμεσα

Υπάρχει μια νέα ευπάθεια στο WordPress plugin Ninja Forms που επηρεάζει όλες τις εκδόσεις έως και την 3.6.3. Η ευπάθεια επιτρέπει SQL injection, που δίνουν στον επιτιθέμενο πρόσβαση να τρέξει ερωτήματα στην βάση δεδομένων μέσω των κενών πεδίων της φόρμας.

Ο προγραμματιστής του πρόσθετου κυκλοφόρησε την έκδοση 3.6.4 πριν από δύο ημέρες.

sql injection

Το πρόσθετο Ninja Forms επιτρέπει τη σχεδίαση φορμών σε ιστότοπους WordPress και αυτή την στιγμή έχει περισσότερες από 1 εκατομμύριο ενεργές εγκαταστάσεις. Ωστόσο, στο συγκεκριμένο plugin ανακαλύπτονται συχνά ευπάθειες, όπως αυτή που αναφέρθηκε στις 22 Σεπτεμβρίου του 2021 από την WordFence. Η νέα ευπάθεια υποτίθεται ότι έχει έχει επιδιορθωθεί με την έκδοση 3.6.4, χωρίς να αποκαλυφθούν περισσότερες λεπτομέρειες.

Προς το παρόν δεν υπάρχει λεπτομερής περιγραφή του τρόπου με τον οποίο θα μπορούσε να γίνει exploit αυτή η ευπάθεια που έχει σαν αναγνωριστικό το CVE-2021-24889. Όμως στις 4 Νοεμβρίου, οι προγραμματιστές σχεδιάζουν να δημοσιεύσουν ένα PoC που το δείχνει αυτό.

Για την ιστορία η ευπάθεια στο Ninja Forms plugin που αναφέρθηκε στα τέλη Σεπτεμβρίου αφορούσε μη προστατευμένα αιτήματα μέσω του REST API, κάτι που επέτρεπε στους εισβολείς να κάνουν skim off ευαίσθητα δεδομένα ή να πραγματοποιούν email injections.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Ninja Forms,SQL injection,WordPress,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


28  +    =  32