Wiadomości IT

Uwaga ! Hakerzy mogą ukraść Twoje dane dzięki luce we wtyczce Ninja Forms WordPress!

By Jean-Luc Pircard , on 16 lutego, 2024 , updated on 16 lutego, 2024 - 3 minutes to read
Notez-moi

Użytkownicy wtyczki Ninja Forms WordPress powinni zdawać sobie sprawę z trzech luk, które zostały ostatnio odkryte. Luki te mogą umożliwić atakującym zwiększenie uprawnień i kradzież danych użytkownika. Badacze Patchstack zidentyfikowali te luki i zgłosili je twórcy wtyczki, firmie Saturday Drive, 22 czerwca 2023 r. Wskazali, że dotyczy to NinjaForms w wersji 3.6.25 i wcześniejszych.

Deweloper wydał aktualizację w wersji 3.6.26 4 lipca 2023 r., która naprawiła te luki. Niepokojący jest jednak fakt, że tylko połowa użytkowników NinjaForms pobrała najnowszą wersję. Oznacza to, że prawie 400 000 stron internetowych pozostaje podatnych na ataki.

Zidentyfikowano luki

Pierwsza luka, znana jako 2CVE-2023-37979, to luka związana z odzwierciedlonym skryptem krzyżowym (XSS) opartym na POST. Umożliwia nieuwierzytelnionym użytkownikom zwiększanie swoich uprawnień i kradzież informacji poprzez nakłonienie uprzywilejowanych użytkowników do odwiedzenia specjalnie spreparowanej strony internetowej.

Druga i trzecia luka, nazwane odpowiednio CVE-2023-38393 i CVE-2023-38386, dotyczą problemów z kontrolą dostępu w funkcji eksportu przesyłania formularzy wtyczki. Luki te umożliwiają subskrybentom i współpracownikom eksportowanie wszystkich danych przesłanych przez użytkowników do dotkniętej witryny WordPress.

Należy zauważyć, że chociaż luki te są sklasyfikowane jako luki o dużej wadze, luka CVE-2023-38393 jest szczególnie niebezpieczna, ponieważ użytkownik pełniący rolę subskrybenta może łatwo ją wykorzystać.

Każda witryna internetowa, która umożliwia rejestrację członków i użytkowników, jest narażona na masowe naruszenie bezpieczeństwa danych, jeśli korzysta z podatnej na ataki wersji wtyczki Ninja Forms.

Funkcja przetwarzania zawierająca CVE-2023-38393
Funkcja przetwarzania zawierająca CVE-2023-38393
(zestaw poprawek)

Poprawki wprowadzone przez wydawcę w wersji 3.6.26 obejmują dodanie kontroli uprawnień w przypadku problemów z kontrolą dostępu i ograniczeń dostępu do funkcji, aby zapobiec wykorzystaniu zidentyfikowanej wady XSS.

Warto zaznaczyć, że ujawnienie tych luk opóźniono o ponad trzy tygodnie, aby nie przyciągnąć uwagi hakerów, zanim użytkownicy Ninja Form będą mogli zastosować łatki. Jednak wielu użytkowników nadal nie zaktualizowało swojej wtyczki.

Szczegóły techniczne tych luk są dostępne w serwisie Patchstack, co oznacza, że ​​dobrze poinformowani źli aktorzy mogą z łatwością je wykorzystać. Dlatego też wszystkim administratorom witryn korzystającym z wtyczki Ninja Forms zaleca się jak najszybszą aktualizację do wersji 3.6.26 lub nowszej. Jeśli nie jest to możliwe, zaleca się wyłączenie wtyczki w witrynach, których dotyczy problem, do czasu zastosowania poprawek.

Źródło naszych informacji

Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.