چندین آسیب‌پذیری در افزونه Ninja Forms بیشتر از ۸۰۰ هزار وب‌سایت را آسیب پذیر کرد

0
209
چندین آسیب‌پذیری در افزونه Ninja Forms بیشتر از ۸۰۰ هزار وب‌سایت را آسیب پذیر کرد

چندین آسیب‌پذیری در افزونه Ninja Forms وردپرس باعث آسیب‌پذیر شدن بیش از ۸۰۰ هزار وب‌سایت وردپرس شد. سواستفاده از این آسیب‌پذیری‌‌ها می‌توانند باعث ارتقا سطح دسترسی (گرفتن دسترسی بالاتر غیرمجاز) و سرقت اطلاعات حساس و مهم شوند.

Patchstack در گزارشی در هفته گذشته گفت که این نقص‌ها به‌عنوان CVE-2023-37979، CVE-2023-38386، و CVE-2023-38393، در نسخه‌های 3.6.25 و پایین‌تر دیده شده‌اند. Ninja Forms در بیش از ۸۰۰ هزار وب‌سایت نصب شده است.

در ادامه شرح مختصری از هر یک از آسیب‌پذیری‌ها آورده شده است:

۱- CVE-2023-37979 (امتیاز CVSS: 7.1) – یک نقص برنامه نویسی مبتنی بر POST (XSS)  است که می تواند به هر کاربر احراز هویت نشده اجازه دهد تا کاربران مدیریتی را فریب دهند. بدین صورت که آن‌ها از یک وب سایت مخرب بازدید کنند تا کاربر احراز هویت نشده بتواند دسترسی‌شان را ارتقا دهند.

۲ و ۳ – CVE-2023-38386 و CVE-2023-38393 – آسیب‌پذیری نقض کنترل دسترسی (Broken access control)  در ویژگی submissions export فرم امکان می‌دهد که یک کاربر مخرب با دسترسی مشترک یا مشارکت کننده بتواند از همه فرم‌های ارسالی پلاگین نینجا خروجی بگیرد.

به کاربران این افزونه توصیه می شود برای کاهش تهدیدات احتمالی به نسخه 3.6.26 به روز رسانی کنند.

 

منبع: https://thehackernews.com/2023/07/multiple-flaws-found-in-ninja-forms.html

مقاله قبلی۹ بدافزار رایج و شناخته شده
مقاله بعدیاحراز هویت بدون رمز عبور

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.