Търсене
Close this search box.

Множество недостатъци, открити в плъгина Ninja Forms, оставят 800 000 сайта уязвими

В плъгина Ninja Forms за WordPress са разкрити множество уязвимости в сигурността, които могат да бъдат използвани от заплахи за увеличаване на привилегиите и кражба на поверителни данни.

Недостатъците, проследени като CVE-2023-37979, CVE-2023-38386 и CVE-2023-38393, засягат версии 3.6.25 и по-ниски, съобщи Patchstack в доклад миналата седмица. Ninja Forms е инсталирана на над 800 000 сайта.

Кратко описание на всяка от уязвимостите е представено по-долу –

  • CVE-2023-37979 (CVSS score: 7.1) – POST-базиран отразен cross-site scripting (XSS) недостатък, който може да позволи на всеки неавтентифициран потребител да постигне повишаване на привилегиите в целевия WordPress сайт, като подмами привилегировани потребители да посетят специално създаден уебсайтCVE-2023-38386 и
  • CVE-2023-38393 – Пропуски в контрола на достъпа във функцията за експортиране на подадени формуляри, които могат да позволят на недоброжелател с роли Subscriber (абонат) и Contributor (сътрудник) да експортира всички подадени формуляри Ninja Forms в сайт на WordPress.
    На потребителите на плъгина се препоръчва да актуализират до версия 3.6.26, за да намалят потенциалните заплахи.

Разкритието идва в момент, когато Patchstack разкри друг отразен недостатък на XSS уязвимостта в комплекта за разработка на софтуер (SDK) на Freemius WordPress, засягащ версии преди 2.5.10 (CVE-2023-33999), който може да бъде използван за получаване на повишени привилегии.

От компанията за сигурност на WordPress е открит и критичен бъг в плъгина HT Mega (CVE-2023-37999), присъстващ във версии 2.2.0 и по-късни, който позволява на всеки неаутентифициран потребител да увеличи привилегиите си до тези на всяка роля в сайта на WordPress.

 

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
22/05/2024

Новият Windows 11 Recall на...

Обявяването от Microsoft на новата функция...
16/05/2024

Intel публикува 41 препорък...

Гигантът в областта на чиповете е...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!