لوگوی ارتباط افزار افق
۰۲۱۹۱۳۰۵۹۷۹

3 آسیب پذیری خطرناک در افزونه پرطرفدار Ninja Forms وردپرس، وبسایت‌های زیادی را تهدید می‌کند

آسیب پذیری افزونه Ninja Form

فهرست مطالب

افزونه Ninja Forms

یکی از معروف‌ترین افزونه‌های وردپرس ساخت فرم به نام Ninja Forms، که کاربرانی بسیار زیادی نیز دارد و دارای آسیب پذیری‌های خطرناکی می‌باشد. این افزونه با داشتن 3 آسیب پذیری به هکرها امکان افزایش سطح دسترسی و سرقت اطلاعات کاربران را می‌دهد.

به گزارش یکی از معتبرترین سایت‌های مدیریت وبسایت در سطح جهانی به نام Patchstack در تاریخ 1402/04/02 خبر وجود 3 نقطه آسیب پذیری در افزونه را به توسعه دهندگان آن افزونه و در وبسایت رسمی خودشان افشا کردند و طبق این خبر این افزونه از ورژن 3.6.25 به قبل، قابل نفوذ می‌باشد. حدود 10 روز پس از انتشار این خبر توسعه دهندگان این افزونه از نسخه جدید 3.6.26 رونمایی کردند و از حل شدن این مشکل امنیتی خبر دادند. این درحالی انجام شد که سایت   WordPress.org اعلام کرد حدود نصف، تمام کاربران افزونه Ninja Forms این افزونه را به نسخه جدید بروزرسانی کرده‌اند. با توجه به این خبر حدود 400 هزار وبسایت همچنان در معرض سرقت اطلاعات می‌باشند.

آسیب پذیری‌ها

اولین آسیب پذیری (CVE-2023-37979) که توسط تیم Patchstack کشف شد، از نوع XSS می‌باشد. این نقص به کاربران احراز نشده امکان افزایش سطح دسترسی و سرقت اطلاعات را با هدایت کاربران مجاز به یک صفحه جعلی می‌دهد.

دومین و سومین (CVE-2023-38393CVE-2023-38386) آسیب پذیری در خصوص اشکال در مدیریت دسترسی قابلیت export اطلاعات صفحات فرم می‌باشد که به کاربران با دسترسی پایین Subscriber و Contributor اجازه استخراج اطلاعات تمامی کاربران وبسایت آسیب پذیر را می‌دهد. از آنجایی که تمامی این آسیب پذیری‌ها با شدت بالا هستند، آسیب پذیری CVE-2023-38393 نسبتا خطرناک محسوب می‌شود و وبسایت‌هایی که دارای اعضا و قابلیت ثبت نام می‌باشند، در صورت استفاده از نسخه‌های آسیب پذیر این افزونه وردپرسی، تحت تاثیر این سرقت اطلاعات گسترده‌ می‌باشند.

کد آسیب پذیر Ninja Forms

تغییرات امنیتی جدید

ورژن جدید 3.6.26 پلاگین Ninja Forms با هدف رفع آسیب پذیری‌های یاد شده عرض گردیده‌است اما به نقل از PluginVuls به طور کامل برطرف نشده‌است. با بررسی تغییرات در به‌روزرسانی جدید، دریافتند که مشکلات امنیتی مربوط به عملکرد قدیمی است و با اینکه استفاده نمی‌شود ولی هنوز در افزونه وجود دارد. توسعه دهندگان این افزونه سریعا نسبت به انتشار نسخه جدیدتری اقدام نموده‌اند و در حال حاضر نسخه 3.6.28 منتشر شده‌است.

شرکت توسعه دهنده در زمان افشا شدن این خبر از گزارش عمومی ایرادات فوق تا بیش از سه هفته جلوگیری کرد و به تعویق انداخت تا از جلب توجه هکرها به نقاط نفوذ جلوگیری کرده‌باشد و حداقل کاربران فرصت بروزرسانی را داشته‌باشند. هم اکنون تعداد محدودی هستند که اقدام به بروزرسانی نکرده‌اند. اطلاعاتی که توسط Patchstack افشا شد شامل جزئیات فنی درمورد 3 نقص موجود بود، در نتیجه بهره برداری از آنها برای کسانی که آگاهی کامل داشتند باید بی اهمیت باشد. با شرایط به وجود آمده به تمامی ادمین‌هایی که از این افزونه استفاده می‌کنند پیشنهاد می‌شود، در اسرع وقت نسبت به بروزرسانی این افزونه کوشا باشند و اگر امکان بروزرسانی را به هر دلیلی ندارند افزونه را غیرفعال کنند حداقل تا زمانی که بتوانند پچ‌های جدید را اعمال کنند.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *