• Вконтакте
  • Facebook
  • Twitter
  • Instagram
  • Telegram
  • Viber
  • WhatsApp
Республика Беларусь г. Минск, ул. Герасименко 29
+375 29 236-68-17
+375 29 228-06-03
Заказать звонок
СтопВирус
О компании
  • О компании
  • Партнеры
  • Отзывы
  • Реквизиты
  • Вопрос ответ
Отзывы
Гарантии
Новости
Услуги
  • Удаление вирусов с сайта
    • Комплексная защита
    • Диагностика безопасности
    • Сайт под наблюдением
    • Срочная помощь
  • Обслуживание ПК NEW
    • Ремонт ноутбуков
    • Ремонт компьютеров
    • Установка Windows
    • Настройка сетей Ethernet
Блог
Контакты
Ещё
    СтопВирус
    Меню  
    • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Удаление вирусов с сайта  
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW  
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    Заказать звонок
    +375 29 236-68-17
    +375 29 228-06-03
    СтопВирус
    • О компании
      • Назад
      • О компании
      • О компании
      • Партнеры
      • Отзывы
      • Реквизиты
      • Вопрос ответ
    • Отзывы
    • Гарантии
    • Новости
    • Услуги
      • Назад
      • Услуги
      • Удаление вирусов с сайта
        • Назад
        • Удаление вирусов с сайта
        • Комплексная защита
        • Диагностика безопасности
        • Сайт под наблюдением
        • Срочная помощь
      • Обслуживание ПК NEW
        • Назад
        • Обслуживание ПК NEW
        • Ремонт ноутбуков
        • Ремонт компьютеров
        • Установка Windows
        • Настройка сетей Ethernet
    • Блог
    • Контакты
    • +375 29 236-68-17
      • Назад
      • Обратная связь
      • +375 29 236-68-17
      • +375 29 228-06-03
      • Заказать звонок
    Будьте на связи
    Республика Беларусь г. Минск, ул. Герасименко 29
    support@stopvirus.by
    • Facebook
    • Вконтакте
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp

    Еженедельное обновление WP.NinjaForms.3.CVE

    Еженедельное обновление WP.NinjaForms.3.CVE

    27 апреля 2020 года команда Wordfence Threat Intelligence обнаружила уязвимость подделки межсайтовых запросов (CSRF) в Ninja Forms, плагине WordPress с более чем 1 миллионом установок. Эта уязвимость может позволить злоумышленнику обманом заставить администратора импортировать контактную форму, содержащую вредоносный JavaScript, и заменить любую существующую контактную форму вредоносной версией.

    Мы связались с командой безопасности Ninja Form в соответствии с их руководящими принципами ответственного раскрытия информации, и они ответили в течение нескольких часов. Плагин был исправлен менее чем через 24 часа после нашего первого контакта, 28 апреля 2020 года.

    Все пользователи Wordfence, включая как премиум-пользователей Wordfence, так и бесплатных пользователей Wordfence, защищены от попыток XSS устранить эту уязвимость встроенной защитой XSS брандмауэра Wordfence.


    Описание: подделка межсайтовых запросов к хранимым межсайтовый скриптинг
    пострадавших плагин: ниндзя форм
    плагин пули: ниндзя-форм
    уязвимые версии: < 3.4.24.2
    CVE идентификатор: уязвимость CVE-2020-12462
    CVSS оценка: 8.8 (высокий)
    CVSS вектор: CVSS:3.0/кабель AV:N/переменного тока:л/пр-во:N/интерфейс:Р/С:П/С:Н/И:Н/А:ч
    Полная исправленная версия: 3.4.24.2

    Плагин Ninja Forms имеет режим” legacy", который позволяет пользователям вернуть свой стиль и функции к тем, которые были в финальной версии плагина 2.9.версия X. В рамках этой функции он добавляет несколько функций AJAX, которые, по-видимому, предназначены для импорта форм и полей между “устаревшим” режимом и режимом по умолчанию. Хотя все эти функции использовали проверку возможностей, две из них не смогли проверить nonces, которые используются для проверки того, что запрос был преднамеренно отправлен законным пользователем. В частности, одна функция ninja_forms_ajax_import_formпозволяла импортировать формы, содержащие Пользовательский HTML:

    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    add_action( 'wp_ajax_ninja_forms_ajax_import_form', 'ninja_forms_ajax_import_form' );
    function ninja_forms_ajax_import_form(){
       if( ! current_user_can( apply_filters( 'ninja_forms_admin_upgrade_import_form_capabilities', 'manage_options' ) ) ) return;
     
       $import = stripslashes( $_POST[ 'import' ] );
     
       $form_id = ( isset( $_POST[ 'formID' ] ) ) ? absint( $_POST[ 'formID' ] ) : '';
     
       WPN_Helper::delete_nf_cache( $form_id ); // Bust the cache.
     
       Ninja_Forms()->form()->import_form( $import, TRUE, $form_id, TRUE );
     
       if( isset( $_POST[ 'flagged' ] ) && $_POST[ 'flagged' ] ){
           $form = Ninja_Forms()->form( $form_id )->get();
           $form->update_setting( 'lock', TRUE );
           $form->save();
       }
     
       echo json_encode( array( 'export' => WPN_Helper::esc_html($_POST['import']), 'import' => $import ) );
       wp_die();
    }



    Таким образом, если злоумышленник смог обманом заставить администратора перейти по созданной ссылке, он мог подделать запрос, используя сеанс этого администратора, и импортировать форму, содержащую вредоносный JavaScript, на сайт. Что еще хуже, можно было заменить любую существующую форму на сайте одной из этих импортированных формformID $_POST, установив параметр в идентификатор существующей формы.

    В зависимости от того, где JavaScript был помещен в импортированную форму, он мог выполняться в браузере жертвы всякий раз, когда она посещала страницу, содержащую форму, всякий раз, когда администратор посещал страницу импорта/экспорта плагина, или всякий раз, когда администратор пытался отредактировать любое из полей формы. Как это обычно бывает при атаках с использованием межсайтовых сценариев (XSS), вредоносный сценарий, выполняемый в браузере администратора, может быть использован для добавления новых учетных записей администратора, что приведет к полному захвату сайта, в то время как вредоносный сценарий, выполняемый в браузере посетителя, может быть использован для перенаправления этого посетителя на вредоносный сайт.

    Политика раскрытия уязвимостей очень важна

    Одна из причин, по которой этот плагин был исправлен так быстро, заключалась в том, что команда плагина поддерживает ответственную политику раскрытия информации о безопасности, часто называемую политикой раскрытия уязвимостей. Это позволило нам связаться с ними напрямую с нашим полным раскрытием, а не тратить дни, пытаясь найти или проверить соответствующий контактный канал. Хотя в прошлом мы иногда видели Плагины, исправленные менее чем за 24 часа, такие ответы являются исключительными и указывают на серьезную приверженность безопасности.

    Если вы несете ответственность за какой-либо программный продукт или услугу, наличие политики раскрытия уязвимостей (VDP) не только повышает ваши шансы быть предупрежденным о серьезных проблемах безопасности, но и позволяет вам установить ожидания для вашей реакции. Самое главное, это снижает риск того, что уязвимости в ваших продуктах будут преждевременно или безответственно раскрыты и атакованы плохими участниками, прежде чем у вас появится шанс исправить их. По этим причинам мы настоятельно рекомендуем внедрить VDP для повышения не только эффективности вашего реагирования на конкретные недостатки, но и общей безопасности вашего продукта.

    Временная шкала

    27 апреля 2020 года 19: 00 UTC-наша команда по анализу угроз обнаруживает и анализирует уязвимость и проверяет, что наши существующие правила брандмауэра обеспечивают достаточную защиту от XSS.
    27 апреля 2020 года 19: 24 UTC - мы предоставляем полную информацию разработчику плагина в соответствии с их ответственной политикой раскрытия информации о безопасности.
    27 апреля 2020 года 20: 27 UTC-мы получаем ответ, что патч должен быть доступен на следующий день.
    28 апреля 2020 года 19: 00 UTC-выпущена исправленная версия плагина.


    Поделиться
    Назад к списку
    • Комментарии
    Загрузка комментариев...
    Категории
    • CMS3
    • Новости8
    • Новые вирусы44
    • Партнеры2
    Это интересно
    • Поддельная версия плагина jQuery заразила множество сайтов
      Поддельная версия плагина jQuery заразила множество сайтов
      28 апреля 2021
    • Еженедельное обновление WP.Core.5.5.2.CVE
      Еженедельное обновление WP.Core.5.5.2.CVE
      30 октября 2020
    • Еженедельное обновление WP.Core.5.4.2.CVE
      Еженедельное обновление WP.Core.5.4.2.CVE
      7 октября 2020
    • Еженедельное обновление WP.Elementor.5.CVE
      Еженедельное обновление WP.Elementor.5.CVE
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-007
      Еженедельное обновление Drupal.CVE.Core-2020-007
      1 октября 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-009
      Еженедельное обновление Drupal.CVE.Core-2020-009
      1 сентября 2020
    • Еженедельное обновление WP.ElementorPRO.CVE
      Еженедельное обновление WP.ElementorPRO.CVE
      7 мая 2020
    • Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      Еженедельное обновление Drupal.CVE.Core-2020-004/5/6
      8 апреля 2020
    • Еженедельное обновление WP.AllinOneSEOPack.CVE
      Еженедельное обновление WP.AllinOneSEOPack.CVE
      18 марта 2020
    • Еженедельное обновление WP.FastestCache.CVE
      Еженедельное обновление WP.FastestCache.CVE
      9 марта 2020
    • Еженедельное обновление WP.Slider.CVE
      Еженедельное обновление WP.Slider.CVE
      7 февраля 2020
    • Еженедельное обновление WP.Elementor.2.CVE
      Еженедельное обновление WP.Elementor.2.CVE
      6 февраля 2020
    • Еженедельное обновление версии 3.9.21 Joomla
      Еженедельное обновление версии 3.9.21 Joomla
      5 февраля 2020
    • Еженедельное обновление WP.DatabaseReset.CVE
      Еженедельное обновление WP.DatabaseReset.CVE
      28 января 2020
    • Еженедельное обновление Bitrix.Trojan.11
      Еженедельное обновление Bitrix.Trojan.11
      2 января 2020
    • Еженедельное обновление WP.WooCommerce.CVE
      Еженедельное обновление WP.WooCommerce.CVE
      23 декабря 2019
    • Еженедельное обновление Drupal.CVE.Core-2019-012
      Еженедельное обновление Drupal.CVE.Core-2019-012
      1 октября 2019
    • Magento Guruincsite массовая блокировка сайтов
      Magento Guruincsite массовая блокировка сайтов
      22 октября 2015
    • Еженедельное обновление WP.ContactForm7.CVE
      Еженедельное обновление WP.ContactForm7.CVE
    • Еженедельное обновление WP.Loginizer.CVE
      Еженедельное обновление WP.Loginizer.CVE
    Облако тегов
    WordPressВирусы на сайтена сайте вирусыОчистить сайт от вирусовПроверить сайт на вирусыУдаление вирусов на сайтеудаление вирусов на сайтеуязвимости на сайте
    Компания
    О компании
    Партнеры
    Отзывы
    Реквизиты
    Вопрос ответ
    Продукты
    Антивирус для сайта
    Хостинг
    Услуги
    Удаление вирусов с сайта
    Обслуживание ПК NEW
    О сервисе
    Прейскурант цен
    Польз. соглашение
    Политика конфид.
    Наши контакты


    +375 (29) 236-68-17
    +375 (29) 228-06-03
    support@stopvirus.by
    Республика Беларусь г. Минск, ул. Герасименко 29
    ©2013-2023 Все права защищены Stopvirus.by.
    Все материалы данного сайта являются объектами авторского права (в том числе дизайн). Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в Интернете) или любое иное использование информации и объектов без предварительного согласия правообладателя.
    По всем вопросам пишите на support@stopvirus.by
    УНП:490932810, ИП Жидко Леонид Александрович, Республика Беларусь, Гомельская обл. г. Рогачев ул. Кирова, д. 37, кв. 72, принимаем звонки с 9:00 до 21:00.
    Безопасный сервер WEBPAY устанавливает шифрованное соединение по защищенному протоколу TLS и конфиденциально принимает от клиента данные его платёжной карты (номер карты, имя держателя, дату окончания действия, и контрольный номер банковской карточке CVC/CVC2). После совершения оплаты с использованием банковской карты необходимо сохранять полученные карт-чеки (подтверждения об оплате) для сверки с выпиской из карт-счёта (с целью подтверждения совершённых операций в случае возникновения спорных ситуаций). В случае, если Вы не получили заказ (не оказана услуга), Вам необходимо обратиться (в службу технической поддержки) по телефонам +375292366817 или e-mail support@stopvirus.by. Менеджеры Вас проконсультируют. При оплате банковской платежной картой возврат денежных средств осуществляется на карточку, с которой была произведена оплата. Оплата при помощи WebPay
    Онлайн оплата
    • Вконтакте
    • Facebook
    • Twitter
    • Instagram
    • Telegram
    • Viber
    • WhatsApp