Были выпущены предупреждения об уязвимостях, обнаруженных в двух самых популярных плагинах контактной формы WordPress, которые потенциально могут повлиять на более чем 1,1 миллиона установок. Пользователям рекомендуется обновить свои плагины до последних версий.

+1 миллион установок контактных форм WordPress

Плагины контактной формы, затронутые уязвимостью, — Ninja Forms (более 800 000 установок) и Contact Form Plugin от Fluent Forms (+300 000 установок). Уязвимости не связаны друг с другом и возникают из-за отдельных недостатков безопасности.

В Ninja Forms возникает проблема с экранированием URL-адреса, что может привести к отраженной атаке с использованием межсайтового скриптинга (отраженный XSS), а уязвимость Fluent Forms вызвана недостаточной проверкой возможностей.

Ninja Forms отражает межсайтовый скриптинг

Уязвимость Reflected Cross-Site Scripting, которой подвержен плагин Ninja Forms, может позволить злоумышленнику нацелиться на пользователя уровня администратора на веб-сайте, чтобы получить его связанные привилегии веб-сайта. Требуется предпринять дополнительные действия, чтобы обманом заставить администратора щелкнуть ссылку. Эта уязвимость все еще проходит оценку и ей не был присвоен уровень угрозы CVSS.

Fluent Forms Отсутствует авторизация

В плагине контактной формы Fluent Forms отсутствует проверка возможностей, что может привести к несанкционированному изменению API (API — это мост между двумя различными программами, позволяющий им взаимодействовать друг с другом).

Эта уязвимость требует, чтобы злоумышленник сначала получил авторизацию на уровне подписчика, что может быть достигнуто на сайтах WordPress, на которых включена функция регистрации подписчиков, но невозможно для тех, на которых она не включена. Этой уязвимости был присвоен средний уровень угрозы 4,2 (по шкале от 1 до 10).

ЧИТАТЬ  Easypromos: Как предотвратить мошенничество в следующем онлайн-голосовании | Зона Мартех

Wordfence описывает эту уязвимость следующим образом:

«Плагин Contact Form от Fluent Forms для викторин, опросов и плагин Drag & Drop WP Form Builder для WordPress уязвим для несанкционированного обновления ключа API Malichimp из-за недостаточной проверки возможностей функции verifyRequest во всех версиях до 5.1.18 включительно.

Это позволяет менеджерам форм с доступом уровня подписчика и выше изменять ключ API Mailchimp, используемый для интеграции. В то же время отсутствие проверки ключа API Mailchimp позволяет перенаправлять запросы на интеграцию на сервер, контролируемый злоумышленником».

Рекомендуемые действия

Пользователям обеих контактных форм рекомендуется обновиться до последних версий каждого плагина контактной формы. Контактная форма Fluent Forms в настоящее время имеет версию 5.2.0. Последняя версия плагина Ninja Forms — 3.8.14.

Ознакомьтесь с рекомендациями NVD по плагину контактной формы Ninja Forms: CVE-2024-7354

Ознакомьтесь с рекомендациями NVD по контактной форме Fluent Forms: CVE-2024

Ознакомьтесь с рекомендациями Wordfence по контактной форме Fluent Forms:
Плагин контактной формы от Fluent Forms для тестов, опросов и Drag & Drop WP Form Builder

Главное изображение от Shutterstock/Cast Of Thousands



Source link