Уязвимость плагина WordPress Ninja Forms позволяет хакерам украсть отправленные данные

Популярный плагин для создания форм WordPress Ninja Forms содержит три уязвимости, которые могут позволить злоумышленникам добиться повышения привилегий и украсть пользовательские данные.

Уязвимость плагина WordPress Ninja Forms позволяет хакерам украсть отправленные данные. Фото: СС0

Исследователи из Patchstack обнаружили и сообщили о трех уязвимостях разработчику плагина, Saturday Drive, 22 июня 2023 года, предупредив, что они затрагивают версии NinjaForms 3.6.25 и старше.

Разработчики выпустили версию 3.6.26 4 июля 2023 года, чтобы исправить уязвимости. Однако статистика WordPress.org показывает, что только примерно половина всех пользователей NinjaForms загрузила последнюю версию, в результате чего около 400 тыс. сайтов уязвимы для атак.

Первой уязвимостью, обнаруженной Patchstack, является CVE-2023-37979 , уязвимость отраженного XSS (межсайтового скриптинга) на основе POST, которая позволяет неаутентифицированным пользователям повышать свои привилегии и красть информацию, обманом заставляя привилегированных пользователей посетить специально созданную веб-страницу.

Вторая и третья проблемы, отслеживаемые как CVE-2023-38393 и CVE-2023-38386 , соответственно, представляют собой проблемы с нарушением контроля доступа к функции экспорта отправки форм плагина, что позволяет подписчикам и участникам экспортировать все данные, отправленные пользователями на затронутый сайт WordPress.

Несмотря на то, что проблемы оцениваются как очень серьезные, CVE-2023-38393 особенно опасна, потому что пользователя с требуемой ролью подписчика легко встретить.

Любой сайт, который поддерживает членство и регистрацию пользователей, будет подвержен массовым инцидентам с утечкой данных из-за этой уязвимости, если он использует уязвимую версию плагина Ninja Forms, утверждают исследователи.

Патчи, разработанные поставщиком в версии 3.6.26, включают в себя добавление проверок разрешений для нарушенных проблем управления доступом и ограничений доступа к функциям, которые предотвращают запуск идентифицированного XSS.

Публичное сообщение об указанных выше недостатках было отложено более чем на три недели, чтобы не привлекать внимание хакеров к недостаткам и позволить пользователям Ninja Form установить исправления. Тем не менее, есть еще значительное число тех, кто этого еще не сделал.

Пакет Patchstack содержит подробную техническую информацию о трех уязвимостях, поэтому их использование должно быть тривиальным для злоумышленников.

Всем администраторам веб-сайтов, использующим плагин Ninja Forms, рекомендуется как можно скорее обновить его до версии 3.6.26 или более поздней версии. Если это невозможно, администраторы должны отключить плагин на своих сайтах, пока исправление не установлено.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит ПО российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.