Gli esperti avvertono delle vulnerabilità che interessano il plug-in Ninja Forms per WordPress che potrebbero essere sfruttate per l’escalation dei privilegi e il furto di dati.
Il plug-in Ninja Forms per WordPress è interessato da molteplici vulnerabilità (tracciate come CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393) che possono essere sfruttate dagli attori delle minacce per aumentare i privilegi e rubare dati sensibili.
Il plug-in WordPress Forme Ninja è il plug-in per la creazione di moduli più popolare, ha più di 900.000 installazioni attive.
Gli sviluppatori possono utilizzare questo plug-in per creare qualsiasi tipo di modulo, inclusi moduli di contatto e moduli di pagamento.
La prima vulnerabilità, tracciata come CVE-2023-37979, è un XSS riflesso basato su POST che può essere sfruttato da un utente non autenticato per rubare informazioni sensibili, in questo caso, per l’escalation dei privilegi sul sito WordPress. L’attaccante può attivare il problema inducendo gli utenti privilegiati a visitare un sito Web predisposto.
La seconda e la terza vulnerabilità, tracciate come CVE-2023-38393 e CVE-2023-38386, sono un controllo di accesso interrotto sulla funzione di esportazione degli invii di moduli. L’utente del ruolo di abbonato e collaboratore può sfruttare i difetti per esportare tutti gli invii di Ninja Forms su un sito WordPress.
Le vulnerabilità sono state risolte con il rilascio della versione 3.6.26.
“In alcuni casi, il codice del plugin o del tema deve chiamare determinate funzioni o classi dalla stringa fornita dall’utente. Prova sempre a controllare e limitare quale funzione o classe l’utente potrebbe chiamare direttamente. Prestare inoltre particolare attenzione a un’azione di esportazione dei dati e implementare sempre il controllo delle autorizzazioni o del controllo degli accessi alle funzioni correlate. legge il inviare pubblicato da PatchStack.
Di seguito è riportata la tempistica per i problemi di cui sopra:
- 22 giugno 2023 Abbiamo individuato la vulnerabilità e contattato il fornitore del plug-in.
- 04 luglio 2023 Versione Ninja Forms 3.6.26 è stato pubblicato per correggere il problema segnalato.
- 25 luglio 2023 Aggiunte le vulnerabilità al file Database delle vulnerabilità patchstack.
- 27 luglio 2023 Articolo di consulenza sulla sicurezza pubblicato pubblicamente.
Seguimi su Twitter: @securityaffairs Facebook E Mastodonte
(Affari di sicurezza – hacking, plug-in Forme Ninja)
Condividere su
Lascia un commento