Sicurezza

Vulnerabilitá per 1M di siti che usano Ninja Forms

ninja forms

Il team di Wordfence ha di recente riscontrato alcune vulnerabilitá nel plugin Ninja Forms, utilizzato da piú di 4 milioni di siti web.

In base a quanto scoperto, queste vulnerabilitá consentirebbero di prendere il controllo di un sito WordPress da parte di terzi.

Prima di proseguire con questo articolo, se ti interessa il tema della sicurezza, ti consiglio di leggere anche quest’altro articolo che ho scritto:

Che cosa é Ninja Forms?

Ninja Forms é uno dei piú utilizzati plugin per create contact form su siti WordPress.

Ad oggi il plugin sviluppato da Saturday Drive conta +4 milioni di installazioni attive e un totale complessivo di +25 milioni di scaricamenti.

Quali sono le vulnerabilitá riscontrate?

Il 20 gennaio 2021 il team di Wordfence ha riscontrato le seguenti quattro vulnerabilitá:

  • Capacitá di ri-dirigere un profilo admin a pagine web arbitrarie
  • Capacitá per utenti con profilo di sottoscrittori di installare un plugin e intercettare tutto il traffico di email
  • Capacitá per utenti con profilo di sottoscrittori di avere accesso alla OAuth connection key di Ninja Forms e di accedere al corrispondente pannello centrale
  • Capacitá di disconnettere la OAuth connection key

Che cosa ha fatto Wordfence?

Il team di Wordfence ha contattato la societá Saturday Drive e li ha messi al corrente della minaccia.

Gli sviluppatori hanno prontamente rilasciato delle patch, la piú recente datata 8 febbraio 2021.

LEGGI  Thrive Themes: vulnerabilità in più di 100 mila siti

Cosa fare se si utilizza Ninja Forms?

É importante aggiornare il plugin alla sua ultima versione che, nella data in cui sto scrivendo, é la 3.5.1.

Coloro che utilizzano Wordfence gratuitamente riceveranno una patch per bloccare queste vulnerabilitá il 19 febbraio 2021. Gli utenti premium invece l’hanno ricevuta il 20 gennaio 2021.

Scarica

Ninja Forms | Wordfence

Fonti

Articolo ufficiale di Wordfence

Immagine in evidenza presa da WPkube.com

Pasquale Mellone

You may also like

1 Comment

  1. […] Articoli correlati: Vulnerabilitá per 1M di siti che utilizzano Ninja Forms […]

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

More in Sicurezza