IT News

Увага! Хакери можуть викрасти ваші дані завдяки недоліку плагіна Ninja Forms WordPress!

By Jean-Luc Pircard , on 16 Лютого, 2024 , updated on 16 Лютого, 2024 - 1 minute to read

Notez-moi

Користувачі плагіна Ninja Forms WordPress повинні знати про три вразливості, які були нещодавно виявлені. Ці вразливості можуть дозволити зловмисникам підвищити привілеї та викрасти дані користувача. Дослідники Patchstack виявили ці вразливості та повідомили про них розробнику плагіна Saturday Drive 22 червня 2023 року. Вони вказали, що це стосується NinjaForms версії 3.6.25 і раніших.

Розробник випустив оновлення версії 3.6.26 4 липня 2023 року, щоб усунути ці вразливості. Однак викликає занепокоєння те, що лише половина користувачів NinjaForms завантажили цю останню версію. Це означає, що майже 400 000 веб-сайтів залишаються вразливими до атак.

Виявлено вразливі місця

Перша вразливість, відома як 2CVE-2023-37979, є помилкою відображеного міжсайтового сценарію (XSS) на основі POST. Це дозволяє неавтентифікованим користувачам підвищувати свої привілеї та викрадати інформацію, обманом змушуючи привілейованих користувачів відвідати спеціально створену веб-сторінку.

Друга та третя уразливості під назвами CVE-2023-38393 та CVE-2023-38386 відповідно стосуються проблем контролю доступу у функції експорту надсилання форми плагіна. Ці уразливості дозволяють передплатникам і учасникам експортувати всі дані, надіслані користувачами, на ураженому сайті WordPress.

Важливо зазначити, що хоча ці уразливості класифікуються як високого рівня серйозності, CVE-2023-38393 є особливо небезпечним, оскільки користувачам у ролі підписника легко скористатися нею.

Будь-який веб-сайт, який дозволяє реєстрацію учасників і користувачів, загрожує масовим витоком даних, якщо він використовує вразливу версію плагіна Ninja Forms.

**Функція обробки, яка містить CVE-2023-38393**
*(Patchstack)*

Виправлення, внесені видавцем у версії 3.6.26, включають додавання перевірки дозволів на проблеми з контролем доступу та обмеження доступу до функцій, щоб запобігти використанню виявленої помилки XSS.

Важливо відзначити, що розкриття цих недоліків було відкладено більш ніж на три тижні, щоб не привернути увагу хакерів до того, як користувачі Ninja Form зможуть застосувати виправлення. Однак багато користувачів досі не оновили свій плагін.

A LIRE Розкритий скандал: 8 мільйонів людей стали жертвами величезного витоку даних американської публічної компанії Maximus!

Технічні деталі цих недоліків доступні у звіті Patchstack, а це означає, що добре поінформовані зловмисники можуть легко ними скористатися. Тому всім адміністраторам веб-сайтів, які використовують плагін Ninja Forms, наполегливо рекомендується якнайшвидше оновити до версії 3.6.26 або новішої. Якщо це неможливо, радимо вимкнути плагін на уражених сайтах, доки не буде застосовано виправлення.

Джерело нашої інформації

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments