De populaire WordPress plugin Ninja Forms heeft recentelijk een update uitgerold om een kwetsbaarheid te patchen. De meer dan 1 miljoen gebruikers van deze plugin krijgen dan ook het advies om zo snel mogelijk te updaten naar de meest recente versie.
Cross-Site Request Forgery
Het gaat om een zogeheten Cross-Site Request Forgery, wat in de categorie ernstige kwetsbaarheden valt. Dit omdat het een hacker de mogelijkheid geeft om admin rechten te verkrijgen en zo de volledige website over te nemen. Tegelijkertijd kunnen er scripts worden uitgevoerd in de browser van de website bezoeker, met het doel om die bezoeker naar een malafide website door te sturen.
De kwetsbaarheid werd op 27 april ontdekt door het team van Wordfence, dat meteen de ontwikkelaar op de hoogte bracht. Nog geen 24 uur later werd er al een update met patch uitgerold. Bovendien was Ninja Forms heel transparant over de inhoud van de update, welke in de changelog werd beschreven.
Responsible Security Disclosure Policy
Het feit dat er zo snel actie werd ondernomen, laat zien dat Ninja Forms een betrouwbare en verantwoordelijke plugin ontwikkelaar is. Het team hanteert dan ook een zogeheten Responsible Security Disclosure Policy. Dit openbaarmakingsbeleid maakte het voor Wordfence heel eenvoudig om direct contact op te nemen. Wordfence gaf zelf ook aan dat een respons zoals deze “uitzonderlijk is en wijst op een serieuze toewijding aan veiligheid”.
Ninja Forms plugin updaten
Iedereen die gebruik maakt van de Ninja Forms plugin krijgt het advies om zo snel mogelijk te updaten naar de meest recente versie. Op dit moment is dat versie 3.4.24.2. Wil je meer weten over de kwetsbaarheid? Dan kun je het rapport van Wordfence nalezen.
Niet de eerste plugin
Cross-Site Request Forgery kwesties zoals in de Ninja Forms plugin komen de laatste tijd regelmatig voor. Vorige week werd een zelfde soort kwetsbaarheid in de Real Time Find and Replace plugin aangetroffen. Een maand daarvoor vond Wordfence twee kwetsbaarheden in de Rank Math SEO plugin.
