{"id":4899,"date":"2023-06-04T17:57:13","date_gmt":"2023-06-04T15:57:13","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4899"},"modified":"2023-06-04T17:57:13","modified_gmt":"2023-06-04T15:57:13","slug":"gravity-forms-ranjivost","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/04\/gravity-forms-ranjivost\/","title":{"rendered":"Gravity Forms ranjivost"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di su upozorili na \u0161iroko rasprostiranjeni WordPress<\/em> dodatak Gravity<\/em> Forms<\/em>, kod kojeg je otkrivena ranjivost neovla\u0161tenog ubacivanja PHP<\/em> objekta.<\/span><\/p>\n

\"Gravity

Gravity Forms ranjivost; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Graviti Forms<\/em> koristi preko 930.000 Internet lokacija za pla\u0107anje, registraciju, otpremanje datoteka i razli\u010dite druge forme potrebne za transakcije, povratne informacije i sli\u010dno. Neki od njegovih najpoznatijih kupaca su Airbnb, ESPN, Nike, NASA, PennState<\/em> i Unicef<\/em>.<\/span><\/p>\n

 <\/p>\n

Ranjivost<\/strong><\/span><\/h2>\n

Ranjivost je ozna\u010dena kao CVE-2023-28782<\/em> i poga\u0111a sve verzije od 2.73<\/em> i starije. Gre\u0161ku je otkrila kompanija PatchStack<\/em> 27. marta 2023. godine, a kompanija Rocketgenius<\/em>, vlasnik Graviti<\/em> Forms<\/em> dodatka je objavila ispravljenu verziju 2.7.4<\/em>, koja je postala dostupna 11. aprila 2023. godine.<\/span><\/p>\n

\u010cini se da je uzrok problema nedostatak provjera unosa koje je obezbijedio korisnik za funkciju \u201cmaibe_unserialize<\/em>\u201c. Ako je obrazac napravljen pomo\u0107u dodatka Gravity Forms<\/em>, uno\u0161enje podataka u njega mo\u017ee aktivirati problem.<\/span><\/p>\n

 <\/p>\n

\u201cPo\u0161to PHP dozvoljava serijalizaciju objekata, korisnik koji nije autentifikovan mo\u017ee da proslijedi ad-hoc serijalizovane stringove ranjivom neserijalizovanom pozivu, \u0161to rezultira proizvoljnim PHP objektom(ima) ubrizgavanjem u opseg aplikacije. Imajte na umu da se ova ranjivost mo\u017ee pokrenuti na podrazumijevanoj instalaciji ili konfiguraciji dodatka Gravity Forms i da joj je potreban samo kreiran obrazac koji sadr\u017ei polje liste.\u201d<\/em><\/span><\/p>\n

\u00a0<\/em><\/span>– <\/em>PatchStack report<\/em><\/a> –<\/em><\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

Iako je CVE-2023-28782<\/em> ranjivost veoma ozbiljna, sigurnosni istra\u017eiva\u010di nisu primijetili zna\u010dajan uticaj na preuzimanje vlasni\u0161tva, \u0161to se \u010dini da ubla\u017eava rizik. Ipak, situacija bi mogla postati kriti\u010dna ako korisnik instalira druge dodatke ili teme koje sadr\u017ee POP<\/em> lanac. U tom slu\u010daju, CVE-2023-28782<\/em> mo\u017ee izazvati ozbiljnu \u0161tetu. Zlonamjerni napada\u010di<\/a> bi mogli da iskoriste ranjivost Gravity Forms<\/em> za proizvoljan pristup i modifikovanje datoteka, preuzimanje podataka korisnika i izvr\u0161avanje k\u00f4da.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h3>\n

A\u017euriranje dodatka Gravity<\/em> Forms<\/em> na verziju 2.74<\/em> trebalo bi da rije\u0161i problem. Prodavac dodataka je uklonio upotrebu funkcije \u201cmaibe_unserialize<\/em>\u201d iz nove verzije 2.74<\/em> koja je dostupna.<\/span><\/p>\n

Kao mjeru opreza, stru\u010dnjaci za sajber bezbjednost preporu\u010duju administratorima Internet stranica da prate i primjenjuju dostupna a\u017euriranja na sve dodatke i teme. Ovo poma\u017ee da se elimini\u0161u i drugi vektori napada.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di su upozorili na \u0161iroko rasprostiranjeni WordPress dodatak Gravity Forms, kod kojeg je otkrivena ranjivost neovla\u0161tenog ubacivanja PHP objekta. Graviti Forms koristi preko 930.000 Internet lokacija za pla\u0107anje, registraciju, otpremanje datoteka i razli\u010dite...<\/p>","protected":false},"author":1,"featured_media":4900,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[404,288,126,259],"class_list":["post-4899","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-gravity-forms","tag-php","tag-vulnerability","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4899","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4899"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4899\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4900"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}