Segundo os Pesquisadores do Patchstack, o plug-in WordPress Ninja Forms tem três vulnerabilidades graves que permitem roubo de dados.
O popular plug-in de criação de formulários do WordPress, Ninja Forms, contém três vulnerabilidades que podem permitir que invasores obtenham escalonamento de privilégios e roubem dados do usuário.
Plug-in WordPress Ninja Forms tem três vulnerabilidades graves
Pesquisadores do Patchstack descobriram e divulgaram as três vulnerabilidades ao desenvolvedor do plug-in, Saturday Drive, em 22 de junho de 2023, alertando que afeta as versões 3.6.25 e anteriores do NinjaForms.
Os desenvolvedores lançaram a versão 3.6.26 em 4 de julho de 2023 para corrigir as vulnerabilidades.
No entanto, as estatísticas do WordPress.org mostram que apenas cerca de metade de todos os usuários do NinjaForms baixaram a versão mais recente, deixando cerca de 400.000 sites vulneráveis a ataques.
A primeira vulnerabilidade descoberta pelo Patchstack é 2CVE-2023-37979, uma falha de XSS (script entre sites) refletida baseada em POST que permite que usuários não autenticados aumentem seus privilégios e roubem informações enganando usuários privilegiados para que visitem uma página da Web especialmente criada.
O segundo e o terceiro problemas, rastreados como CVE-2023-38393 e CVE-2023-38386, respectivamente, são problemas de controle de acesso interrompido no recurso de exportação de envios de formulário do plug-in, permitindo que assinantes e colaboradores exportem todos os dados que os usuários enviaram em o site WordPress afetado.
Embora os problemas sejam classificados como de alta gravidade, o CVE-2023-38393 é particularmente perigoso porque é fácil encontrar um usuário com a função Assinante necessária.
Qualquer site que ofereça suporte a membros e registros de usuários seria suscetível a incidentes massivos de violação de dados devido a essa falha se eles usarem uma versão vulnerável do plug-in Ninja Forms.
Os patches aplicados pelo fornecedor na versão 3.6.26 incluem a adição de verificações de permissão para problemas de controle de acesso interrompido e restrições de acesso a funções que impedem o acionamento do XSS identificado.
O relato público das falhas acima foi adiado por mais de três semanas para evitar chamar a atenção dos hackers para as falhas, permitindo que os usuários do Ninja Form corrigissem. No entanto, ainda há um número significativo que não o fez neste momento.
A cobertura do Patchstack contém informações técnicas detalhadas sobre as três falhas, portanto, explorá-las deve ser trivial para agentes de ameaças experientes.
Dito isso, recomenda-se que todos os administradores de sites que usam o plug-in Ninja Forms atualizem para a versão 3.6.26 ou posterior o mais rápido possível. Se isso não for possível, os administradores devem desabilitar o plug-in de seus sites até que possam aplicar o patch.
Muito bom amigo, vc tem contribuído muito com os usuários do linux.