نقص افزونه وردپرس Ninja Forms به هکرها اجازه می دهد تا داده های ارسال شده را بدزدند

افزونه محبوب فرم‌سازی وردپرس Ninja Forms شامل سه آسیب‌پذیری است که می‌تواند به مهاجمان اجازه دهد تا به افزایش امتیاز دست یابند و داده‌های کاربر را بدزدند.

محققان  Patchstack  این سه آسیب‌پذیری را در ۲۲ ژوئن ۲۰۲۳ به توسعه‌دهنده افزونه، Saturday Drive، کشف و افشا کردند و هشدار دادند که این سه آسیب‌پذیری بر نسخه‌های ۳.۶.۲۵ و بالاتر NinjaForms تأثیر می‌گذارد.

توسعه دهندگان نسخه 3.6.26 را در 4 جولای 2023 برای رفع آسیب پذیری ها منتشر کردند. با این حال،  آمار WordPress.org  نشان می‌دهد که تنها نیمی از کاربران NinjaForms آخرین نسخه را دانلود کرده‌اند و حدود 400000 سایت را در برابر حملات آسیب‌پذیر کرده‌اند.?

آسیب پذیری ها

اولین آسیب‌پذیری کشف‌شده توسط Patchstack،  CVE-2023-37979 است، یک نقص XSS منعکس‌شده مبتنی بر POST (اسکریپت‌نویسی متقابل) که به کاربران احراز هویت نشده اجازه می‌دهد تا امتیازات خود را افزایش داده و با فریب دادن کاربران ممتاز برای بازدید از یک صفحه وب ساخته‌شده خاص، اطلاعات را بدزدند.

دومین و سومین مشکل که به ترتیب با نام‌های  CVE-2023-38393  و  CVE-2023-38386 ردیابی می‌شوند، مشکلات کنترل دسترسی شکسته در ویژگی صادرات فرم ارسالی افزونه است که به مشترکین و مشارکت‌کنندگان اجازه می‌دهد همه داده‌هایی را که کاربران در آن ارسال کرده‌اند صادر کنند. سایت تحت تاثیر وردپرس

اگرچه این مشکلات به‌عنوان با شدت بالا رتبه‌بندی می‌شوند، CVE-2023-38393 به‌ویژه خطرناک است زیرا ملاقات با کاربر نقش مشترک مورد نیاز آسان است.

هر سایتی که از عضویت و ثبت نام کاربر پشتیبانی می‌کند، در صورت استفاده از نسخه آسیب‌پذیر پلاگین Ninja Forms، به دلیل آن نقص، در معرض حوادث نقض گسترده داده‌ها قرار می‌گیرد.

وصله‌های اعمال‌شده توسط فروشنده در نسخه 3.6.26 شامل افزودن بررسی‌های مجوز برای مشکلات کنترل دسترسی شکسته و محدودیت‌های دسترسی عملکرد است که از راه‌اندازی XSS شناسایی‌شده جلوگیری می‌کند.

گزارش عمومی ایرادات فوق بیش از سه هفته به تعویق افتاد تا از جلب توجه هکرها به نقص‌ها جلوگیری شود و در عین حال به کاربران Ninja Form اجازه داده شود وصله کنند. با این حال، هنوز تعداد قابل توجهی وجود دارد که در حال حاضر این کار را نکرده اند.

پوشش Patchstack حاوی اطلاعات فنی دقیق در مورد سه نقص است، بنابراین بهره برداری از آنها برای عوامل تهدید آگاه باید بی اهمیت باشد.

با این اوصاف، به تمامی مدیران وبسایتی که از افزونه Ninja Forms استفاده می کنند، توصیه می شود در اسرع وقت به نسخه 3.6.26 یا بالاتر به روز رسانی کنند. اگر این امکان پذیر نیست، مدیران باید افزونه را از سایت های خود غیرفعال کنند تا زمانی که بتوانند پچ را اعمال کنند.

ما بسیار سپاسگزاریم که این متن را مطالعه کرده‌اید و برای خواندن این خبر، متشکریم. همچنین، از شما دعوت می‌کنیم تا ما را دنبال کنید تا به روز با جدیدترین اخبار تکنولوژی باشید.