WordPress-ի Ninja Forms հավելվածում բացահայտվել են անվտանգության բազմաթիվ խոցելիություններ, որոնք կարող են շահագործվել հաքերների կողմից՝ մի շարք կոնֆիդենցիալ տվյալներ գողանալու նպատակով:
CVE-2023-37979, CVE-2023-38386 և CVE-2023-38393 խոցելիությունները կարող են ազդել՝ 3.6.25 և ավելի ցածր տարբերակների վրա, նշում է Patchstack-ն իր անցյալ շաբաթվա զեկույցում: Ninja Forms-ը տեղադրված է ավելի քան 800,000 կայքերում:
Ստորև ներկայացված է խոցելիություններից յուրաքանչյուրի համառոտ նկարագրությունը.
- CVE-2023-37979 (CVSS-ում միավորը՝ 7.1) – POST-ի վրա հիմնված cross-site scripting (XSS) խոցելիություն, որը WordPress կայքերում ցանկացած օգտատիրոջ կարող է թույլ տալ մի շարք արտոնությունների հասնել:
- CVE-2023-38386 և CVE-2023-38393 – Մուտքի վերահսկման խոցելիություն, որը հաքերին կարող է թույլ WordPress կայքերում արտահանել Ninja Forms բոլոր submission-երը:
Բացահայտումների շղթան ընդլայնվեց այն բանից հետո, երբ Patchstack-ը արձանագրեց և բացահայտեց մեկ այլ արտացոլված XSS խոցելիության՝ Freemius WordPress-ի ծրագրային ապահովման մշակման հավաքածույում (SDK): Այն ազդում է մինչև 2.5.10 (CVE-2023-33999) տարբերակների վրա:
Աղբյուրը՝ https://thehackernews.com/