Было обнаружено, что популярный плагин Fluent Forms Contact Form Builder для WordPress, имеющий более 300 000 установок, содержит уязвимость SQL-инъекции, которая может открыть хакерам доступ к базе данных.
Содержание
Конструктор контактных форм Fluent Forms
Fluent Forms Contact Form Builder — одна из самых популярных контактных форм для WordPress, которую установили более 300 000 раз.
Его интерфейс с возможностью перетаскивания упрощает создание пользовательских контактных форм, поэтому пользователям не нужно учиться программировать.
Возможность использовать плагин для создания практически любой формы ввода делает его лучшим выбором.
Пользователи могут использовать плагин для создания форм подписки, форм оплаты и форм для создания викторин.
Кроме того, он интегрируется со сторонними приложениями, такими как MailChimp, Zapier и Slack.
Важно отметить, что он также имеет встроенные аналитические возможности.
Эта невероятная гибкость делает Fluent Forms лучшим выбором, поскольку пользователи могут добиться очень многого с помощью всего лишь одного плагина.
Входная нейтрализация
Каждый плагин, который позволяет посетителям сайта вводить данные непосредственно в базу данных, особенно в контактные формы, должен обрабатывать эти входные данные, чтобы они случайно не позволяли хакерам вводить сценарии или команды SQL, которые позволяют злоумышленникам вносить неожиданные изменения.
Эта конкретная уязвимость делает плагин Fluent Forms уязвимым для SQL-инъекций, что особенно опасно, если хакеру удается добиться успеха в своих попытках.
Уязвимость SQL-инъекции
SQL, что означает язык структурированных запросов, — это язык, используемый для взаимодействия с базами данных.
SQL-запрос — это команда для доступа, изменения или организации данных, хранящихся в базе данных.
База данных — это то, что содержит все, что используется для создания веб-сайта WordPress, например пароли, контент, темы и плагины.
База данных — это сердце и мозг веб-сайта WordPress.
Как следствие, возможность произвольного «запроса» базы данных представляет собой исключительный уровень доступа, который абсолютно не должен быть доступен неавторизованным пользователям или программному обеспечению за пределами веб-сайта.
Атака с помощью SQL-инъекции — это когда злоумышленник может использовать законный входной интерфейс для вставки команды SQL, которая может взаимодействовать с базой данных.
Некоммерческий проект Open Worldwide Application Security Project (OWASP) описывает разрушительные последствия уязвимости SQL-инъекции:
- «Атаки с помощью SQL-инъекций позволяют злоумышленникам подделывать личность, подделывать существующие данные, вызывать проблемы с отказом, такие как аннулирование транзакций или изменение баланса, позволяют полностью раскрывать все данные в системе, уничтожать данные или делать их недоступными иным образом, а также становиться администраторами сервер базы данных.
- SQL-инъекция очень распространена в приложениях PHP и ASP из-за преобладания старых функциональных интерфейсов. Из-за природы доступных программных интерфейсов приложения J2EE и ASP.NET с меньшей вероятностью легко используют SQL-инъекции.
- Серьезность атак с использованием SQL-инъекций ограничивается навыками и воображением злоумышленника и, в меньшей степени, мерами глубокоэшелонированной защиты, такими как соединения с низкими привилегиями к серверу базы данных и т. д. В общем, считайте, что SQL-инъекция является серьезной угрозой».
Неправильная нейтрализация
База данных уязвимостей США (NVD) опубликовала рекомендацию об уязвимости, в которой причина уязвимости описана как «неправильная нейтрализация».
Нейтрализация — это ссылка на процесс обеспечения того, чтобы все, что вводится в приложение (например, контактная форма), было ограничено ожидаемым и не допускало ничего, кроме ожидаемого.
Правильная нейтрализация контактной формы означает, что она не допускает команды SQL.
База данных уязвимостей США описал уязвимостьй:
«Неправильная нейтрализация специальных элементов, используемых в SQL-команде («SQL-инъекция»), уязвимость в контактной форме — плагин контактной формы WPManageNinja LLC — самый быстрый плагин для создания контактных форм для WordPress от Fluent Forms. Fluentform допускает SQL-инъекцию.
Эта проблема затрагивает плагин контактной формы — самый быстрый плагин для создания контактных форм для WordPress от Fluent Forms: от н/д до 4.3.25».
Охранная компания Patchstack обнаружила уязвимость и сообщила разработчикам плагина.
В соответствии с Патчстек:
«Это может позволить злоумышленнику напрямую взаимодействовать с вашей базой данных, включая, помимо прочего, кражу информации.
Эта уязвимость исправлена в версии 5.0.0».
Хотя в сообщении Patchstack говорится, что уязвимость была устранена в версии 5.0.0, согласно журналу изменений Fluent Form Contact Form Builder, где изменения в программном обеспечении регулярно регистрируются, нет никаких указаний на исправление безопасности.
Это конструктор контактных форм Fluent Forms. журнал изменений запись для версии 5.0.0:
- «5.0.0 (ДАТА: 22 ИЮНЯ 2023 г.)
Обновленный пользовательский интерфейс и улучшенный UX- Глобальное улучшение стайлера
- Новая система для более быстрого реагирования
- Исправлена проблема с некорректным отображением поля повторителя в PDF-файле.
- Исправлена проблема, из-за которой WPForm Migrator неправильно переносил текстовые поля в поля ввода текста с правильной максимальной длиной текста.
- Исправлена проблема с миграцией записей
- Фиксированный числовой формат в файлах PDF
- Исправлена проблема с метками радиополя.
- Маршруты Ajax обновлены до Rest Routes.
- Обновлено соглашение об именах хуков фильтров и действий с поддержкой старых хуков.
- Обновлены строки перевода»
Возможно, одна из этих записей является исправлением. Но некоторые разработчики плагинов по какой-то причине хотят сохранить в секрете исправления безопасности.
Рекомендации:
Пользователям контактной формы рекомендуется как можно скорее обновить свой плагин.
Рекомендованное изображение: Shutterstock/Kues
