Il popolare plug-in per la creazione di moduli di WordPress Ninja Forms contiene tre vulnerabilità che potrebbero consentire agli aggressori di ottenere l’escalation dei privilegi e rubare i dati degli utenti.
Ricercatori a Patchstack scoperto e divulgato le tre vulnerabilità allo sviluppatore del plug-in, Saturday Drive, il 22 giugno 2023, avvertendo che interessa le versioni NinjaForms 3.6.25 e precedenti.
Gli sviluppatori hanno rilasciato la versione 3.6.26 il 4 luglio 2023 per correggere le vulnerabilità. Tuttavia, Statistiche WordPress.org mostrano che solo circa la metà di tutti gli utenti NinjaForms ha scaricato l’ultima versione, lasciando circa 400.000 siti vulnerabili agli attacchi.
Le vulnerabilità
La prima vulnerabilità scoperta da Patchstack è CVE-2023-37979un difetto XSS (cross-site scripting) riflesso basato su POST che consente agli utenti non autenticati di aumentare i propri privilegi e rubare informazioni inducendoli a visitare una pagina Web appositamente predisposta.
Il secondo e il terzo problema, tracciati come CVE-2023-38393 E CVE-2023-38386rispettivamente, sono problemi di controllo dell’accesso interrotti sulla funzione di esportazione degli invii di moduli del plug-in, che consentono agli abbonati e ai contributori di esportare tutti i dati che gli utenti hanno inviato sul sito WordPress interessato.
Sebbene i problemi siano classificati come di gravità elevata, CVE-2023-38393 è particolarmente pericoloso perché è facile incontrare un utente con ruolo di abbonato richiesto.
Qualsiasi sito che supporti l’iscrizione e le registrazioni degli utenti sarebbe suscettibile a massicci incidenti di violazione dei dati a causa di tale difetto se utilizza una versione vulnerabile del plug-in Ninja Forms.
(Patchstack)
Le patch applicate dal fornitore nella versione 3.6.26 includono l’aggiunta di controlli di autorizzazione per problemi di controllo degli accessi interrotti e restrizioni di accesso alle funzioni che impediscono l’attivazione dell’XSS identificato.
La segnalazione pubblica dei difetti di cui sopra è stata ritardata di oltre tre settimane per evitare di attirare l’attenzione degli hacker sui difetti, consentendo agli utenti di Ninja Form di correggere. Tuttavia, c’è ancora un numero significativo che non lo ha fatto in questo momento.
La copertura di Patchstack contiene informazioni tecniche dettagliate sui tre difetti, quindi sfruttarli dovrebbe essere banale per gli attori delle minacce informati.
Detto questo, si consiglia a tutti gli amministratori di siti Web che utilizzano il plug-in Ninja Forms di eseguire l’aggiornamento alla versione 3.6.26 o successiva il prima possibile. Se ciò non è possibile, gli amministratori dovrebbero disabilitare il plug-in dai loro siti fino a quando non possono applicare la patch.