Το ελάττωμα της προσθήκης WordPress Ninja Forms επιτρέπει στους χάκερ να κλέβουν δεδομένα που έχουν υποβληθεί
Το δημοφιλές πρόσθετο δημιουργίας φορμών WordPress Το
Ninja
Forms περιέχει τρία τρωτά σημεία που θα μπορούσαν να επιτρέψουν στους εισβολείς να επιτύχουν κλιμάκωση προνομίων και να κλέψουν δεδομένα χρήστη.
Ερευνητές στο
Patchstack
ανακάλυψε και αποκάλυψε τα τρία τρωτά σημεία στον προγραμματιστή της προσθήκης, Saturday Drive, στις 22 Ιουνίου 2023, προειδοποιώντας ότι επηρεάζει τις εκδόσεις NinjaForms 3.6.25 και νεότερες.
Οι προγραμματιστές κυκλοφόρησαν την έκδοση 3.6.26 στις 4 Ιουλίου 2023, για να διορθώσουν τα τρωτά σημεία. Ωστόσο,
Στατιστικά WordPress.org
δείχνουν ότι μόνο περίπου οι μισοί από τους χρήστες του NinjaForms έχουν κατεβάσει την πιο πρόσφατη έκδοση, αφήνοντας περίπου 400.000 ιστότοπους ευάλωτους σε επιθέσεις.
Τα τρωτά σημεία
Η πρώτη ευπάθεια που ανακαλύφθηκε από το Patchstack είναι
2CVE-2023-37979
ένα ελάττωμα XSS που αντικατοπτρίζεται σε POST (διαδικτυακή δέσμη ενεργειών) που επιτρέπει σε χρήστες χωρίς έλεγχο ταυτότητας να κλιμακώνουν τα προνόμιά τους και να κλέβουν πληροφορίες εξαπατώντας τους προνομιούχους χρήστες να επισκεφτούν μια ειδικά διαμορφωμένη ιστοσελίδα.
Το δεύτερο και το τρίτο πρόβλημα, παρακολουθούνται ως
CVE-2023-38393
και
CVE-2023-38386
αντίστοιχα, είναι προβλήματα ελέγχου πρόσβασης στη δυνατότητα εξαγωγής υποβολών φόρμας της προσθήκης, επιτρέποντας στους Συνδρομητές και τους Συντελεστές να εξάγουν όλα τα δεδομένα που έχουν υποβάλει οι χρήστες στον επηρεαζόμενο ιστότοπο WordPress.
Παρόλο που τα ζητήματα αξιολογούνται ως υψηλής σοβαρότητας, το CVE-2023-38393 είναι ιδιαίτερα επικίνδυνο επειδή είναι εύκολο να συναντήσετε έναν απαιτούμενο χρήστη ρόλου συνδρομητή.
Οποιοσδήποτε ιστότοπος υποστηρίζει εγγραφές μελών και χρηστών θα είναι ευαίσθητος σε μαζικά περιστατικά παραβίασης δεδομένων λόγω αυτού του ελαττώματος, εάν χρησιμοποιεί μια ευάλωτη έκδοση προσθήκης Ninja Forms.
.jpg)
Η συνάρτηση επεξεργασίας που περιέχει το CVE-2023-38393
(Patchstack)
Οι ενημερώσεις κώδικα που εφαρμόζονται από τον προμηθευτή στην έκδοση 3.6.26 περιλαμβάνουν την προσθήκη ελέγχων αδειών για προβλήματα ελέγχου πρόσβασης και περιορισμούς πρόσβασης λειτουργιών που εμποδίζουν την ενεργοποίηση του αναγνωρισμένου XSS.
Η δημόσια αναφορά των παραπάνω ελαττωμάτων καθυστέρησε για πάνω από τρεις εβδομάδες, προκειμένου να αποτραπεί η προσέλκυση της προσοχής των χάκερ στα ελαττώματα, επιτρέποντας παράλληλα στους χρήστες του Ninja Form να επιδιορθώσουν. Ωστόσο, υπάρχει ακόμα ένας σημαντικός αριθμός που δεν το έχει κάνει αυτή τη στιγμή.
Η κάλυψη του Patchstack περιέχει λεπτομερείς τεχνικές πληροφορίες σχετικά με τα τρία ελαττώματα, επομένως η εκμετάλλευσή τους θα πρέπει να είναι ασήμαντη για τους ενημερωμένους παράγοντες απειλών.
Τούτου λεχθέντος, συνιστάται σε όλους τους διαχειριστές ιστότοπου που χρησιμοποιούν την προσθήκη Ninja Forms να ενημερώσουν την έκδοση 3.6.26 ή νεότερη το συντομότερο δυνατό. Εάν αυτό δεν είναι δυνατό, οι διαχειριστές θα πρέπει να απενεργοποιήσουν την προσθήκη από τους ιστότοπούς τους μέχρι να μπορέσουν να εφαρμόσουν την ενημέρωση κώδικα.
