注意 ！ Ninja Forms WordPress プラグインの欠陥により、ハッカーがデータを盗む可能性があります。

Ninja Forms WordPress プラグインのユーザーは、最近発見された 3 つの脆弱性に注意する必要があります。これらの脆弱性により、攻撃者が権限昇格を実行し、ユーザー データを盗む可能性があります。 Patchstack の研究者はこれらの脆弱性を特定し、2023 年 6 月 22 日にプラグイン開発者の Saturday Drive に報告しました。彼らは、NinjaForms バージョン 3.6.25 以前が影響を受けると指摘しました。

開発者は、これらの脆弱性を修正するために、2023 年 7 月 4 日にアップデート バージョン 3.6.26 をリリースしました。ただし、NinjaForms ユーザーの半数しかこの最新バージョンをダウンロードしていないことが懸念されます。これは、約 400,000 の Web サイトが依然として攻撃に対して脆弱であることを意味します。

特定された脆弱性

2CVE-2023-37979 として知られる最初の脆弱性は、POST ベースのリフレクト クロスサイト スクリプティング (XSS) の欠陥です。これにより、認証されていないユーザーが特権を昇格し、特権ユーザーをだまして特別に細工された Web ページにアクセスさせて情報を盗むことができます。

2 番目と 3 番目の脆弱性は、それぞれ CVE-2023-38393 と CVE-2023-38386 と名付けられており、プラグインのフォーム送信エクスポート機能におけるアクセス制御の問題に関連しています。これらの脆弱性により、購読者と寄稿者は、影響を受ける WordPress サイト上のユーザーが送信したすべてのデータをエクスポートできます。

これらの脆弱性は重大度として分類されていますが、CVE-2023-38393 はサブスクライバー ロールのユーザーが悪用しやすいため、特に危険であることに注意することが重要です。

メンバーおよびユーザーの登録を許可する Web サイトは、脆弱なバージョンの Ninja Forms プラグインを使用している場合、大規模なデータ侵害の危険にさらされます。

バージョン 3.6.26 で発行者によって行われた修正には、アクセス制御の問題に対する権限チェックの追加と、特定された XSS 欠陥の悪用を防ぐための機能アクセス制限が含まれます。

Ninja Form ユーザーがパッチを適用する前にハッカーの注意を引かないように、これらの欠陥の公開が 3 週間以上延期されたことに注意することが重要です。ただし、多くのユーザーはまだプラグインを更新していません。

これらの欠陥の技術的な詳細は Patchstack の報道で入手できます。つまり、十分な情報を持った悪意のある攻撃者がそれらを簡単に悪用できる可能性があります。したがって、Ninja Forms プラグインを使用しているすべての Web サイト管理者は、できるだけ早くバージョン 3.6.26 以降に更新することを強くお勧めします。それが不可能な場合は、修正が適用されるまで、影響を受けるサイトのプラグインを無効にすることをお勧めします。

当社の情報源