O popular plugin de construção de formulários do WordPress, Ninja Forms, possui três vulnerabilidades que podem permitir que invasores consigam uma escalada de privilégios e roubem dados dos usuários.
Pesquisadores da Patchstack descobriram e divulgaram as três vulnerabilidades para o desenvolvedor do plugin, Saturday Drive, em 22 de junho de 2023, advertindo que afeta as versões do NinjaForms 3.6.25 e anteriores.
Os desenvolvedores lançaram a versão 3.6.26 em 4 de julho de 2023 para corrigir as vulnerabilidades.
No entanto, as estatísticas do WordPress.org mostram que apenas cerca de metade de todos os usuários do NinjaForms baixou a última versão, deixando cerca de 400.000 sites vulneráveis a ataques.
A primeira vulnerabilidade descoberta pela Patchstack é a
CVE-2023-37979
, uma falha de XSS (cross-site scripting) baseada em POST que permite que usuários não autenticados aumentem seus privilégios e roubem informações, enganando usuários privilegiados a visitar uma página da web especialmente elaborada.
O segundo e o terceiro problemas, rastreados como CVE-2023-38393 e CVE-2023-38386, respectivamente, são falhas de controle de acesso no recurso de exportação de envios do formulário do plugin, permitindo que Assinantes e Colaboradores exportem todos os dados que os usuários enviaram no site do WordPress afetado.
Apesar das questões serem classificadas como de alta gravidade, a CVE-2023-38393 é particularmente perigosa porque um usuário com papel de Assinante é fácil de obter.
Qualquer site que suporte associação e registro de usuários estaria suscetível a grandes incidentes de violação de dados devido a essa falha, se eles usarem uma versão vulnerável do plugin Ninja Forms.
Os patches aplicados pelo fornecedor na versão 3.6.26 incluem a adição de verificações de permissão para as questões de controle de acesso quebrado e restrições de acesso à função que impedem a ativação da XSS identificada.
A divulgação pública das falhas acima foi atrasada por mais de três semanas para evitar chamar a atenção de hackers para as falhas, permitindo que os usuários do Ninja Form atualizassem.
No entanto, ainda há um número significativo de usuários que não o fizeram neste momento.
A cobertura do Patchstack contém informações técnicas detalhadas sobre as três falhas, portanto, explorá-las deve ser trivial para atores de ameaças bem informados.
Dito isto, todos os administradores de sites que usam o plugin Ninja Forms são recomendados a atualizar para a versão 3.6.26 ou mais recente o mais rápido possível.
Caso isso não seja possível, os administradores devem desativar o plugin de seus sites até que possam aplicar o patch.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...