Уязвимости в двух плагинах контактной формы WordPress затрагивают +1,1 миллиона

Уязвимости в двух плагинах контактной формы WordPress затрагивают +1,1 миллиона

Как опытный веб-мастер с более чем десятилетним практическим опытом, я не могу переоценить важность постоянного информирования и бдительности в отношении потенциальных уязвимостей в плагинах, которые мы используем ежедневно. Недавние рекомендации Fluent Forms относительно Ninja Forms и плагина контактной формы являются ярким напоминанием о том, что никто не застрахован от угроз безопасности, даже самые популярные плагины контактной формы WordPress.


Уведомления, предупреждающие пользователей о проблемах безопасности, обнаруженных в двух часто используемых плагинах контактных форм WordPress, могут затронуть около 1,1 миллиона сайтов. Пользователям настоятельно рекомендуется обновить свои плагины до последних версий, чтобы обеспечить их защиту.

+1 миллион установок контактных форм WordPress

Затронутые плагины контактной формы — это Ninja Forms (более 800 000 установок) и плагин контактной формы от Fluent Forms (более 300 000 установок). Уязвимости не связаны друг с другом и возникают из отдельных недостатков безопасности.

На Ninja Forms влияет неспособность экранировать URL-адрес, что может привести к отраженной атаке с использованием межсайтовых сценариев (отраженный XSS), а уязвимость Fluent Forms связана с недостаточной проверкой возможностей.

Ninja Forms отражает межсайтовый скриптинг

Уязвимость отраженного межсайтового скриптинга (XSS), присутствующая в плагине Ninja Forms, потенциально может быть использована злоумышленниками. Обманув администратора, заставив его щелкнуть ссылку, он может получить доступ к привилегиям администратора веб-сайта. В настоящее время эта уязвимость оценивается, и оценка уровня угрозы общей системы оценки уязвимостей (CVSS) еще не присвоена.

В Fluent Forms отсутствует авторизация

В плагине контактной формы Fluent Forms отсутствует проверка возможностей, что может привести к несанкционированной возможности изменения API (API — это мост между двумя разными программами, который позволяет им взаимодействовать друг с другом).

Чтобы воспользоваться этой слабостью, злоумышленник должен сначала получить авторизацию на уровне подписчика, что может произойти на сайтах WordPress, на которых включена регистрация подписчиков, но невозможно для тех, у кого ее нет. Этой уязвимости присвоен средний уровень угрозы — 4,2 из 10.

Плагин контактной формы, созданный Fluent Forms и используемый для создания викторин, опросов и форм перетаскивания в WordPress, имеет проблему безопасности. Эта проблема позволяет неавторизованным пользователям обновить возможность обновления Malichimp (ключ API Mailchimp обновляется до ключа API Mailchimp из-за неадекватной проверки возможностей в функцииverifyRequest во всех версиях до 5.1.18 включительно.

<р>1. Благодаря функции изменения ключа API Mailchimp менеджеры форм, имеющие уровень доступа до «Подписчики», могут настроить ключ, используемый при интеграции. В то же время, если ключ API Mailchimp не проверен, это может привести к перенаправлению запросов на интеграцию на сервер, контролируемый злоумышленником.

Рекомендуемое действие

Пользователям обоих плагинов контактных форм (Fluent Forms и Ninja Forms) рекомендуется обновить их до последних версий. В настоящее время Fluent Forms имеет версию 5.2.0, а самая последняя версия плагина Ninja Forms — 3.8.14.

Прочитайте рекомендации NVD для плагина контактной формы Ninja Forms: CVE-2024-7354

Прочитайте рекомендации NVD для контактной формы Fluent Forms: CVE-2024

Просмотрите предупреждение Wordfence о контактной форме Fluent Forms:

Смотрите также

2024-09-03 20:38