Plug-in WordPress Ninja Forms tem três vulnerabilidades graves

Segundo os Pesquisadores do Patchstack, o plug-in WordPress Ninja Forms tem três vulnerabilidades graves que permitem roubo de dados.

O popular plug-in de criação de formulários do WordPress, Ninja Forms, contém três vulnerabilidades que podem permitir que invasores obtenham escalonamento de privilégios e roubem dados do usuário.

Plug-in WordPress Ninja Forms tem três vulnerabilidades graves

Plug-in WordPress Ninja Forms tem três vulnerabilidades graves
Plug-in WordPress Ninja Forms tem três vulnerabilidades graves

Pesquisadores do Patchstack descobriram e divulgaram as três vulnerabilidades ao desenvolvedor do plug-in, Saturday Drive, em 22 de junho de 2023, alertando que afeta as versões 3.6.25 e anteriores do NinjaForms.

Os desenvolvedores lançaram a versão 3.6.26 em 4 de julho de 2023 para corrigir as vulnerabilidades.

No entanto, as estatísticas do WordPress.org mostram que apenas cerca de metade de todos os usuários do NinjaForms baixaram a versão mais recente, deixando cerca de 400.000 sites vulneráveis a ataques.

A primeira vulnerabilidade descoberta pelo Patchstack é 2CVE-2023-37979, uma falha de XSS (script entre sites) refletida baseada em POST que permite que usuários não autenticados aumentem seus privilégios e roubem informações enganando usuários privilegiados para que visitem uma página da Web especialmente criada.

O segundo e o terceiro problemas, rastreados como CVE-2023-38393 e CVE-2023-38386, respectivamente, são problemas de controle de acesso interrompido no recurso de exportação de envios de formulário do plug-in, permitindo que assinantes e colaboradores exportem todos os dados que os usuários enviaram em o site WordPress afetado.

Embora os problemas sejam classificados como de alta gravidade, o CVE-2023-38393 é particularmente perigoso porque é fácil encontrar um usuário com a função Assinante necessária.

Qualquer site que ofereça suporte a membros e registros de usuários seria suscetível a incidentes massivos de violação de dados devido a essa falha se eles usarem uma versão vulnerável do plug-in Ninja Forms.

Plug-in WordPress Ninja Forms tem três vulnerabilidades graves
Plug-in WordPress Ninja Forms tem três vulnerabilidades graves – A função de processamento que contém CVE-2023-38393 (Patchstack)

Os patches aplicados pelo fornecedor na versão 3.6.26 incluem a adição de verificações de permissão para problemas de controle de acesso interrompido e restrições de acesso a funções que impedem o acionamento do XSS identificado.

O relato público das falhas acima foi adiado por mais de três semanas para evitar chamar a atenção dos hackers para as falhas, permitindo que os usuários do Ninja Form corrigissem. No entanto, ainda há um número significativo que não o fez neste momento.

A cobertura do Patchstack contém informações técnicas detalhadas sobre as três falhas, portanto, explorá-las deve ser trivial para agentes de ameaças experientes.

Dito isso, recomenda-se que todos os administradores de sites que usam o plug-in Ninja Forms atualizem para a versão 3.6.26 ou posterior o mais rápido possível. Se isso não for possível, os administradores devem desabilitar o plug-in de seus sites até que possam aplicar o patch.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.