WordPress: Потребителите на Ninja Forms трябва да наложат по-скоро новата версия
Хиляди съоръжения на известен плъгин към момента не са актуализирани макар излизането на нова версия при започване на този месец, оповестяват Bleeping Computer.
В края на юни компанията за сигурност Patchstack оповестяват за открити от тях рискови проблеми в известния плъгин Ninja Forms за CMS платформата WordPress. Става дума за три уязвимости, позволяващи покачване на привилегиите и завладяване на уеб страницата с конфигурирана остарялата версия на плъгина. Създателите на Ninja Forms издават версия 3.6.26 на плъгина на четвърти този месец, като и трите уязвимости тук са изцяло запушени. Според уеб страницата на WordPress, Ninja Forms е конфигуриран на повече от 800 000 интернет ресурса. Статистиката за свалянията на плъгина показва, че десетки хиляди са инсталациите, които през днешния ден са към момента уязвими.
Първата от трите уязвимости е CVE-2023-37979, POST основан инстинктивен XSS – неточност, позволяваща невписал се консуматор да увеличи привилегиите си и да открадне информация като подлъже привилегировани консуматори да посетят особено основана зловредна страница.
Вторият и третият проблем, надлежно CVE-2023-38393 и CVE-2023-38386, засягат неточности в определянето на контрола на достъп във функционалността за експортиране на изпратените формуляри. Успешното им експлоатирана разрешава на консуматори с права на subscribers и contributors да изнесат всички данни, които потребителите са изпратили към уязвимите уеб сайтове. „ Всеки уебсайт, който поддържа участие и регистрация на консуматори може да падне жертва на всеобщо компрометиране на своите данни, в случай че те употребяват уязвима версия на Ninja Forms.
Patchstack преднамерено изчакали известно време да разгласяват механически детайлности за проблемите, с цел да не притеглят вниманието на хакерите към уязвимостите. Компанията предизвестява, че експлоатирането им ще е елементарно и администриращите запаси, които употребяват Ninja Forms би трябвало да обновят до версия 3.6.26, в случай че към момента не са го създали.
