Sono state scoperte numerose vulnerabilità di elevata gravità in Forme Ninjaun popolare plugin per la creazione di moduli per WordPress con oltre 900.000 installazioni attive.
Il plugin, sviluppato da Saturday Drive, consente agli utenti di creare vari tipi di moduli, inclusi moduli di contatto, registrazioni di eventi, caricamento di file e pagamenti.
Secondo un nuovo consultivo pubblicato oggi dal ricercatore di sicurezza Rafie Muhammad di Patchstack, la prima vulnerabilità è un difetto Cross-Site Scripting (XSS) riflesso basato su POST.
Lo sfruttamento di questa vulnerabilità potrebbe consentire a utenti non autorizzati di rubare informazioni sensibili o eseguire codice dannoso su un sito WordPress. Il difetto è stato assegnato CVE-2023-37979 ed è stato corretto nella versione 3.6.26 del plugin.
La seconda e la terza vulnerabilità riguardano il controllo degli accessi interrotto sulla funzionalità di esportazione degli invii dei moduli per i ruoli Autenticato (Abbonato+) e Autenticato (Collaboratore+). Questi problemi consentirebbero agli utenti a livello di abbonato e collaboratore di esportare tutti gli invii di Ninja Forms su un sito WordPress, indipendentemente dai privilegi di accesso previsti.
Le vulnerabilità sono state assegnate CVE-2023-38393 E CVE-2023-38386 rispettivamente, ed entrambi sono stati risolti anche nella versione 3.6.26 del plugin.
Per mitigare questi rischi per la sicurezza, gli utenti di Ninja Forms devono aggiornare i propri plugin almeno alla versione 3.6.26. In questo modo, possono garantire che i loro siti Web siano protetti da potenziali sfruttamenti.
“In alcuni casi, il codice del plugin o del tema deve richiamare una determinata funzione o classe da una stringa fornita dall’utente”, ha avvertito Muhammad.
“Cerca sempre di verificare e limitare quale funzione o classe l’utente può chiamare direttamente. Inoltre, presta particolare attenzione all’azione di esportazione dei dati e implementa sempre i controlli di autorizzazione o di controllo dell’accesso alle funzioni correlate.
La scoperta di queste vulnerabilità è stata segnalata al fornitore del plugin il 22 giugno 2023. Ninja Forms ha rilasciato la versione 3.6.26 il 4 luglio 2023, correggendo i problemi segnalati. Successivamente, il 25 luglio 2023, Patchstack ha aggiunto queste vulnerabilità al proprio database delle vulnerabilità.
Le patch arrivano settimane dopo i ricercatori di sicurezza di Wordfence ha pubblicato un rapporto suggerendo che un bug di WooCommerce sia stato sfruttato in oltre un milione di attacchi WordPress mirati.