Falhas encontradas no plug-in Ninja Forms deixam 800 mil sites vulneráveis
1
0
Várias vulnerabilidades de segurança foram divulgadas no plug-in Ninja Forms para WordPress que podem ser exploradas por agentes de ameaças para aumentar privilégios e roubar dados confidenciais. As falhas, rastreadas como CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393, afetam as versões 3.6.25 e anteriores, disse Patchstack em um relatório na semana passada. O Ninja Forms está instalado em mais de 800.000 sites.
Uma breve descrição de cada uma das vulnerabilidades está abaixo:
- CVE-2023-37979 (pontuação CVSS: 7.1) – Uma falha refletida de cross-site scripting (XSS) baseada em POST que pode permitir que qualquer usuário não autenticado obtenha escalonamento de privilégios em um site WordPress de destino, enganando usuários privilegiados para visitar um site especialmente criado.
- CVE-2023-38386 e CVE-2023-38393 – Falhas de controle de acesso quebradas no recurso de exportação de envios de formulário que podem permitir que um ator mal-intencionado com funções de Assinante e Colaborador exporte todos os envios de Formulários Ninja em um site WordPress.
Recomenda-se que os usuários do plug-in atualizem para a versão 3.6.26 para mitigar possíveis ameaças.
A divulgação ocorre quando o Patchstack revelou outra falha de vulnerabilidade XSS refletida no kit de desenvolvimento de software Freemius WordPress (SDK) afetando versões anteriores a 2.5.10 (CVE-2023-33999) que poderia ser explorada para obter privilégios elevados.
Também foi descoberto pela empresa de segurança do WordPress um bug crítico no plug-in HT Mega (CVE-2023-37999) presente nas versões 2.2.0 e anteriores que permite que qualquer usuário não autenticado aumente seu privilégio para qualquer função no site WordPress.
Protected by WP Anti-Hacker