Falha no plugin Ninja Forms do WordPress permite que hackers roubem dados submetidos
28 de Julho de 2023

O popular plugin de construção de formulários do WordPress, Ninja Forms, possui três vulnerabilidades que podem permitir que invasores consigam uma escalada de privilégios e roubem dados dos usuários.

Pesquisadores da Patchstack descobriram e divulgaram as três vulnerabilidades para o desenvolvedor do plugin, Saturday Drive, em 22 de junho de 2023, advertindo que afeta as versões do NinjaForms 3.6.25 e anteriores.

Os desenvolvedores lançaram a versão 3.6.26 em 4 de julho de 2023 para corrigir as vulnerabilidades.

No entanto, as estatísticas do WordPress.org mostram que apenas cerca de metade de todos os usuários do NinjaForms baixou a última versão, deixando cerca de 400.000 sites vulneráveis a ataques.

A primeira vulnerabilidade descoberta pela Patchstack é a CVE-2023-37979 , uma falha de XSS (cross-site scripting) baseada em POST que permite que usuários não autenticados aumentem seus privilégios e roubem informações, enganando usuários privilegiados a visitar uma página da web especialmente elaborada.

O segundo e o terceiro problemas, rastreados como CVE-2023-38393 e CVE-2023-38386, respectivamente, são falhas de controle de acesso no recurso de exportação de envios do formulário do plugin, permitindo que Assinantes e Colaboradores exportem todos os dados que os usuários enviaram no site do WordPress afetado.

Apesar das questões serem classificadas como de alta gravidade, a CVE-2023-38393 é particularmente perigosa porque um usuário com papel de Assinante é fácil de obter.


Qualquer site que suporte associação e registro de usuários estaria suscetível a grandes incidentes de violação de dados devido a essa falha, se eles usarem uma versão vulnerável do plugin Ninja Forms.

Os patches aplicados pelo fornecedor na versão 3.6.26 incluem a adição de verificações de permissão para as questões de controle de acesso quebrado e restrições de acesso à função que impedem a ativação da XSS identificada.

A divulgação pública das falhas acima foi atrasada por mais de três semanas para evitar chamar a atenção de hackers para as falhas, permitindo que os usuários do Ninja Form atualizassem.

No entanto, ainda há um número significativo de usuários que não o fizeram neste momento.

A cobertura do Patchstack contém informações técnicas detalhadas sobre as três falhas, portanto, explorá-las deve ser trivial para atores de ameaças bem informados.

Dito isto, todos os administradores de sites que usam o plugin Ninja Forms são recomendados a atualizar para a versão 3.6.26 ou mais recente o mais rápido possível.

Caso isso não seja possível, os administradores devem desativar o plugin de seus sites até que possam aplicar o patch.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...