Vier ernstige kwetsbaarheden gepatcht in Ninja Forms.

Op 20 januari 2021 heeft het WordFence Threat Intelligence-team vier kwetsbaarheden onthuld in Ninja Forms, een WordPress plug-in die door meer dan een miljoen sites wordt gebruikt. Een van deze tekortkomingen maakte het voor aanvallers mogelijk om sitebeheerders om te leiden naar willekeurige locaties.

De tweede fout maakte het voor aanvallers met toegang op abonneeniveau of hoger mogelijk om een ​​plug-in te installeren die kon worden gebruikt om al het e-mailverkeer te onderscheppen. De derde fout maakte het mogelijk voor aanvallers met toegang op abonneerniveau om de Ninja Form OAuth-verbindingssleutel op te halen die kon worden gebruikt om een ​​verbinding tot stand te brengen met het centrale beheerdashboard van Ninja Forms.

Door de laatste fout konden aanvallers de OAuth-verbinding van een site verbreken als ze de beheerder van een site konden misleiden om een ​​actie uit te voeren. Deze fouten kunnen worden gebruikt om een ​​WordPress-site over te nemen en site-eigenaren om te leiden naar kwaadwillende sites.

Lees hier het volledige artikel op Wordfence.com

Wil je op de hoogte blijven?

Abonneer je op onze sporadische nieuwsbrief