Национальная база данных уязвимостей (NVD) правительства США опубликовала предупреждение об уязвимости, затрагивающей плагин WordPress Metform Elementor Contact Form Builder, которая может привести к утечке конфиденциальной информации.
Конструктор контактных форм Metform Elementor для WordPress
Конструктор контактных форм Metform Elementor — это стороннее дополнение к популярному плагину конструктора страниц Elementor, имеющему более 200 000 установок.
Он предлагает интерфейс перетаскивания, который позволяет легко создавать контактные формы, включая многошаговые формы.
Плагин WordPress для создания контактных форм Metform для Elementor позволяет новичкам, не имеющим навыков программирования, создавать формы опросов, контактные формы, формы обратной связи, а также может сохранять форму, чтобы пользователь мог вернуться к форме, если он потеряет и восстановит подключение к Интернету.
Согласно официальному репозиторию плагинов WordPress:
«MetForm, конструктор контактных форм WordPress с возможностью перетаскивания, является дополнением к Elementor, позволяющим создавать любую быструю и безопасную контактную форму на лету благодаря гибкости перетаскивания.
Он может управлять несколькими контактными формами, и вы можете настроить многоэтапную форму с помощью конструктора Elementor».
Уязвимость раскрытия информации
Уязвимость позволяет злоумышленнику получить конфиденциальную информацию.
Эта уязвимость оценивается NVD как угроза среднего уровня, поскольку она требует от злоумышленника получения роли пользователя на уровне подписчика или выше.
Роль пользователя на уровне подписчика — это относительно низкая планка для активации эксплойта, поскольку ее легче получить, чем роль пользователя на уровне администратора или редактора.
Злоумышленнику достаточно подписаться на веб-сайт, чтобы иметь возможность начать атаку.
сайт компании Elementor описывает роль пользователя-подписчика:
«Подписчик WordPress — это пользователь сайта, который может только редактировать свой профиль, читать сообщения и оставлять комментарии.
WordPress использует концепцию «ролей», чтобы позволить владельцу сайта контролировать и управлять тем, какой набор задач (возможностей) пользователи могут выполнять или не выполнять на сайте.
Подписчик — это самый низкий уровень роли пользователя с наименьшим количеством разрешений».
Таким образом, злоумышленник может начать взлом сайта с ролью пользователя самого низкого уровня.
ПНВ описывает угрозу:
«Конструктор контактных форм Metform Elementor для WordPress уязвим к раскрытию информации через короткий код «mf_first_name» в версиях до 3.3.1 включительно.
Это позволяет аутентифицированным злоумышленникам с возможностями уровня подписчика или выше получать конфиденциальную информацию о произвольной отправке форм, включая имя отправителя».
Обновите плагин для снижения угрозы атаки
Эта уязвимость затрагивает версии плагина Metform Elementor Contact Form Builder до 3.3.1 включительно.
Самая последняя версия плагина — 3.4.0.
Metform Elementor Contact Form Builder версии 3.3.2 — это версия, в которой устранена уязвимость.
Согласно Официальный журнал изменений конструктора контактных форм Metform Elementor:
«Версия 3.3.2
…Улучшено: проверка безопасности, nonce и авторизации».
Прочтите официальную рекомендацию ПНВ:
Рекомендованное изображение: Shutterstock/pedrosfernandes
