人気の WordPress フォーム構築プラグイン Ninja Forms には 3 つの脆弱性があり、攻撃者が権限昇格を達成してユーザー データを盗む可能性があります。
Patchstackの研究者は、2023 年 6 月 22 日に 3 つの脆弱性を発見してプラグインの開発者である Saturday Drive に公開し、NinjaForms バージョン 3.6.25 以前に影響を与えると警告しました。
開発者は脆弱性を修正するために、2023 年 7 月 4 日にバージョン 3.6.26 をリリースしました。しかし、 WordPress.org の統計によると、NinjaForms ユーザー全体の約半数のみが最新リリースをダウンロードしており、約 400,000 のサイトが攻撃に対して脆弱なままになっています。
脆弱性
Patchstack によって発見された最初の脆弱性は2CVE-2023-37979です。これは POST ベースの反射型 XSS (クロスサイト スクリプティング) の欠陥で、特権ユーザーをだまして特別に細工された Web ページにアクセスさせることで、認証されていないユーザーが特権を昇格させ、情報を盗むことができます。
それぞれCVE-2023-38393およびCVE-2023-38386として追跡される 2 番目と 3 番目の問題は、プラグインのフォーム送信エクスポート機能におけるアクセス制御の問題であり、サブスクライバーと共同作成者がユーザーが送信したすべてのデータをエクスポートできるようになります。影響を受ける WordPress サイト。
問題は高重大度として評価されていますが、必要なサブスクライバー ロールのユーザーが簡単に満たされるため、CVE-2023-38393 は特に危険です。
メンバーシップとユーザー登録をサポートするサイトは、脆弱なバージョンの Ninja Forms プラグインを使用すると、その欠陥により大規模なデータ侵害事件の影響を受けやすくなります。
.jpg)
(パッチスタック)
バージョン 3.6.26 でベンダーによって適用されたパッチには、壊れたアクセス制御の問題に対する権限チェックの追加と、特定された XSS のトリガーを防ぐ機能アクセス制限が含まれています。
上記の欠陥の公的報告は、Ninja Form ユーザーがパッチを適用できるようにしながら、ハッカーの注意を欠陥に向けることを防ぐために 3 週間以上遅れました。ただし、現時点ではまだ行っていない人がかなりの数います。
Patchstack の報道内容には 3 つの欠陥に関する詳細な技術情報が含まれているため、知識のある攻撃者にとってそれらの悪用は簡単なはずです。
ただし、Ninja Forms プラグインを使用しているすべての Web サイト管理者は、できるだけ早くバージョン 3.6.26 以降に更新することをお勧めします。それが不可能な場合、管理者はパッチを適用できるようになるまでサイトからプラグインを無効にする必要があります。
Comments