چندین آسیبپذیری در افزونه Ninja Forms وردپرس کشف و شناسایی شده است که میتواند توسط مهاجمان برای سرقت دادههای حساس و افزایش سطح دسترسی مورد سوءاستفاده قرار گیرد. این آسیبپذیریها با شناسههای CVE-2023-37979، CVE-2023-38386 و CVE-2023-38393 ردیابی شدهاند که نسخههای 3.6.25 و پایینتر این افزونه را تحت تاثیر قرار میدهند. Ninja Forms در بیش از 800,000 سایت نصب شده است.
آسیبپذیری با شناسه CVE-2023-37979 و شدت 7.1، یک نقص XSS بازتابی POST-based است که میتواند به کاربر احراز هویت نشده اجازه دهد تا با فریب دادن کاربران با دسترسی بالا برای بازدید از یک وبسایت جعلی، دسترسیهای خود را در سایت وردپرس هدف، افزایش دهد. آسیبپذیریهای CVE-2023-38386 و CVE-2023-38393 مربوط به نقصهای کنترل دسترسی میباشند که مهاجم با استفاده از آن میتواند کلیه فرمها را روی سایت وردپرس بفرستد.
همچنین یک نقص امنیتی مهم توسط شرکت امنیتی وردپرس در افزونه HT Mega با شناسه CVE-2023-37999 در نسخههای 2.2.0 و پایینتر کشف شده است که به کاربر احراز هویت نشده این امکان را خواهد داد تا سطح دسترسی خود را به نقش دلخواهش در سایت وردپرس افزایش دهد.
نسخههای 3.6.25 و پایینتر افزونه Ninja Forms تحت تاثیر این آسیبپذیریها قرار خواهند گرفت. به مدیران سایتهای وردپرس توصیه میشود مراقب باشند و بهروزرسانیها و وصلههای امنیتی منتشر شده را جهت محافظت از وبسایت خود در برابر خطرات امنیتی احتمالی اعمال کنند. آسیبپذیری مذکور در نسخه نسخه 3.6.26 وردپرس رفع شده است.
منابع خبر
- 59