Popüler WordPress form oluşturma eklentisi Ninja formları, saldırganların ayrıcalık artışı elde etmesine ve kullanıcı verilerini çalmasına izin verebilecek üç güvenlik açığı içerir.
PatchTack'teki araştırmacılar, 22 Haziran 2023'te eklentinin geliştiricisi Saturday Drive'ın üç güvenlik açıklarını keşfettiler ve açıkladılar ve 3.6.25 ve üstü Ninjaforms sürümlerini etkilediğini söyledi.
Geliştiriciler, güvenlik açıklarını düzeltmek için 4 Temmuz 2023'te 3.6.26 sürümünü yayınladı. Bununla birlikte, WordPress.org istatistikleri, tüm ninjaforms kullanıcılarının kabaca sadece yarısının en son sürümü indirdiğini ve yaklaşık 400.000 siteyi saldırılara karşı savunmasız bıraktığını gösteriyor.
PatchTack tarafından keşfedilen ilk güvenlik açığı, kimlik doğrulanmamış kullanıcıların ayrıcalıklarını yükseltmesine ve ayrıcalıklı kullanıcıları özel olarak hazırlanmış bir web sayfasını ziyaret etmek için kandırarak bilgileri çalmalarına izin veren Post tabanlı bir XSS (siteler arası komut dosyası) kusuru olan CVE-2023-37979'dur.
CVE-2023-38393 ve CVE-2023-38386 olarak izlenen ikinci ve üçüncü problemler, eklentinin Form gönderimleri dışa aktarma özelliğinde kırık erişim kontrolü sorunlarıdır, bu da abonelerin ve katkıda bulunanların kullanıcıların sundukları tüm verileri dışa aktarmasına izin verir. Etkilenen WordPress sitesi.
Sorunlar yüksek şiddetli olarak derecelendirilmiş olsa da, CVE-2023-38393 özellikle tehlikelidir, çünkü gerekli bir abone rolü kullanıcısının karşılanması kolaydır.
Üyelik ve kullanıcı kayıtlarını destekleyen herhangi bir site, savunmasız bir ninja formları eklenti sürümü kullanıyorlarsa, bu kusur nedeniyle büyük veri ihlali olaylarına karşı hassas olacaktır.
3.6.26 sürümünde satıcı tarafından uygulanan yamalar, kırık erişim kontrolü sorunları için izin kontrolleri ve belirlenen XSS'nin tetiklenmesini önleyen işlev erişim kısıtlamaları eklenir.
Yukarıdaki kusurları halka açık bir şekilde bildirmek, bilgisayar korsanlarının dikkatini kusurlara çekmeyi önlemek için üç haftadan fazla gecikti ve Ninja Form kullanıcılarının yamasına izin verdi. Ancak, şu anda hala önemli bir sayı var.
Patchstack'in kapsamı üç kusur hakkında ayrıntılı teknik bilgiler içerir, bu nedenle bunlardan yararlanmak bilgili tehdit aktörleri için önemsiz olmalıdır.
Bununla birlikte, Ninja Forms eklentisini kullanan tüm web sitesi yöneticilerinin 3.6.26 sürümüne veya daha geç saatlere kadar güncellenmesi önerilir. Bu mümkün değilse, yöneticiler eklentiyi yamayı uygulayana kadar sitelerinden devre dışı bırakmalıdır.
WordPress Stripe Ödeme Eklentisi Hata Sızıntıları Müşteri Sipariş Detayları
WordPress AIOS eklentisi, 1m Siteler Kayıtlı düz metin şifreleri tarafından kullanılır
Bilgisayar korsanları, 200K yüklemelerle Ultimate üye WordPress eklentisinde sıfır gün istismar
XSS saldırılarında Zimbra Yamaları Sıfır Gün Güvenlik Açığı Sakat
VMware, denetim günlüklerinde CF API admin bilgilerini ortaya çıkaran hatayı düzeltiyor
Kaynak: Bleeping Computer