Το δημοφιλές πρόσθετο δημιουργίας φορμών του WordPress, Ninja Forms, παρουσιάζει τρία ευάλωτα σημεία που θα μπορούσαν να επιτρέψουν σε κακόβουλους χρήστες να αποκτήσουν προνόμια και να κλέψουν προσωπικά δεδομένα. Είναι σημαντικό να βελτιωθεί η ασφάλεια αυτών των ευπαθειών για να προστατευτούν οι χρήστες και τα δεδομένα τους.
Δείτε επίσης: WordPress plugin παρέχει στους χάκερ admin access στο site σας
Οι ερευνητές στο Patchstack ανακάλυψαν και αποκάλυψαν τα τρία ευάλωτα σημεία στον κώδικα του πρόσθετου Saturday Drive στις 22 Ιουνίου 2023. Αυτά τα ευάλωτα σημεία έχουν επιπτώσεις στις εκδόσεις NinjaForms 3.6.25 και παλαιότερες.
Οι προγραμματιστές κυκλοφόρησαν την έκδοση 3.6.26 στις 4 Ιουλίου 2023, με σκοπό να διορθώσουν τυχόν ευάλωτα σημεία. Παρόλα αυτά, τα στατιστικά του WordPress.org δείχνουν ότι μόνο περίπου το ήμισυ των χρηστών του WordPress Ninja Forms έχουν λάβει την πιο πρόσφατη έκδοση, αφήνοντας περίπου 400.000 ιστότοπους ευάλωτους σε επιθέσεις.
Η πρώτη αδυναμία που ανακαλύφθηκε από την ομάδα του Patchstack είναι η CVE-2023-37979, μια ευπάθεια που βασίζεται σε ένα αντανακλαστικό POST στο XSS (cross-site scripting). Αυτή η ευπάθεια επιτρέπει σε μη πιστοποιημένους χρήστες να αξιοποιήσουν τα προνόμιά τους για να αποκτήσουν πρόσβαση σε πληροφορίες, εξαπατώντας τους προνομιούχους χρήστες για να επισκεφτούν μια ειδικά δημιουργημένη ιστοσελίδα.
Τα δεύτερο και τρίτο σφάλμα, γνωστό ως CVE-2023-38393 και CVE-2023-38386 αντίστοιχα, αφορούν προβλήματα ελέγχου πρόσβασης στη δυνατότητα εξαγωγής υποβολών φόρμας του πρόσθετου. Αυτό επιτρέπει στους Συνδρομητές και Συντελεστές να ανακτήσουν όλα τα δεδομένα που έχουν υποβάλει οι χρήστες στον επηρεασμένο ιστότοπο WordPress.
Δείτε ακόμα: WooCommerce Stripe Gateway plugin – WordPress: Ευπάθεια αποκαλύπτει στοιχεία παραγγελίας χρηστών
Παρόλο που τα ζητήματα αξιολογούνται ως ύψιστης σοβαρότητας, το CVE-2023-38393 είναι ιδιαίτερα επικίνδυνο επειδή είναι εύκολο να συναντήσετε έναν χρήστη με ρόλο συνδρομητή. Οποιοσδήποτε ιστότοπος που υποστηρίζει εγγραφές μελών και χρηστών είναι ευάλωτος σε πιθανές μαζικές παραβιάσεις δεδομένων, αν χρησιμοποιεί μια ευπάθη έκδοση της προσθήκης Ninja Forms.
Οι ενημερώσεις κώδικα που έχουν εφαρμοστεί από τον προμηθευτή στην έκδοση 3.6.26 περιλαμβάνουν την προσθήκη ελέγχων αδειών για να αντιμετωπιστούν προβλήματα ελέγχου πρόσβασης και περιορισμοί πρόσβασης λειτουργιών που εμποδίζουν τον κίνδυνο αναγνωρισμένων επιθέσεων XSS.
Η δημόσια αναφορά των παραπάνω ελαττωμάτων καθυστέρησε για πάνω από τρεις εβδομάδες, με σκοπό να αποτραπεί η προσέλκυση της προσοχής των χάκερ στα ελαττώματα, ενώ ταυτόχρονα παρείχε τη δυνατότητα στους χρήστες του WordPress Ninja Form να τα διορθώσουν. Παρόλα αυτά, υπάρχει ακόμα ένας σημαντικός αριθμός ατόμων που δεν έχει προχωρήσει σε αυτή την ενέργεια μέχρι στιγμής.
Η κάλυψη του Patchstack περιλαμβάνει λεπτομερείς τεχνικές πληροφορίες σχετικά με τις τρεις ευπάθειες. Έτσι, η εκμετάλλευσή τους δεν πρέπει να έχει μεγάλη σημασία για τους ενημερωμένους παράγοντες απειλών.
Μετά από αυτά τα λεγόμενα, προτείνεται σε όλους τους διαχειριστές ιστοτόπων που χρησιμοποιούν το πρόσθετο Ninja Forms να ενημερώσουν στην έκδοση 3.6.26 ή νεότερη όσο το δυνατόν συντομότερα. Εάν αυτό δεν είναι εφικτό, οι διαχειριστές θα πρέπει να απενεργοποιήσουν την προσθήκη από τους ιστότοπούς τους μέχρι να μπορέσουν να εφαρμόσουν την ενημέρωση του κώδικα.
Δείτε επίσης: WordPress: Αυτόματη ενημέρωση για διόρθωση ευπάθειας στο Jetpack plugin
Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου (CMS) στον κόσμο, παρέχοντας μια ευέλικτη και ευφυή πλατφόρμα για τη δημιουργία και διαχείριση ιστοτόπων. Παρόλο που το WordPress είναι σχεδιασμένο με έμφαση στην ασφάλεια, η φύση του ανοιχτού κώδικα του σημαίνει ότι είναι στόχος για κακόβουλους χρήστες. Είναι απαραίτητο για κάθε διαχειριστή ιστοτόπου WordPress να παραμένει ενημερωμένος για τις τελευταίες απειλές ασφαλείας και να εφαρμόζει τακτικά ενημερώσεις και διορθώσεις για να διασφαλίσει ότι ο ιστότοπος τους παραμένει ασφαλής.
