Търсене
Close this search box.

В плъгина Ninja Forms за WordPress са разкрити множество уязвимости в сигурността, които могат да бъдат използвани от заплахи за увеличаване на привилегиите и кражба на поверителни данни.

Недостатъците, проследени като CVE-2023-37979, CVE-2023-38386 и CVE-2023-38393, засягат версии 3.6.25 и по-ниски, съобщи Patchstack в доклад миналата седмица. Ninja Forms е инсталирана на над 800 000 сайта.

Кратко описание на всяка от уязвимостите е представено по-долу –

  • CVE-2023-37979 (CVSS score: 7.1) – POST-базиран отразен cross-site scripting (XSS) недостатък, който може да позволи на всеки неавтентифициран потребител да постигне повишаване на привилегиите в целевия WordPress сайт, като подмами привилегировани потребители да посетят специално създаден уебсайтCVE-2023-38386 и
  • CVE-2023-38393 – Пропуски в контрола на достъпа във функцията за експортиране на подадени формуляри, които могат да позволят на недоброжелател с роли Subscriber (абонат) и Contributor (сътрудник) да експортира всички подадени формуляри Ninja Forms в сайт на WordPress.
    На потребителите на плъгина се препоръчва да актуализират до версия 3.6.26, за да намалят потенциалните заплахи.

Разкритието идва в момент, когато Patchstack разкри друг отразен недостатък на XSS уязвимостта в комплекта за разработка на софтуер (SDK) на Freemius WordPress, засягащ версии преди 2.5.10 (CVE-2023-33999), който може да бъде използван за получаване на повишени привилегии.

От компанията за сигурност на WordPress е открит и критичен бъг в плъгина HT Mega (CVE-2023-37999), присъстващ във версии 2.2.0 и по-късни, който позволява на всеки неаутентифициран потребител да увеличи привилегиите си до тези на всяка роля в сайта на WordPress.

 

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
Бъдете социални
Още по темата
28/11/2024

Microsoft поправя експлоати...

Във вторник Microsoft информира клиентите си,...
24/11/2024

Актуализацията на Windows 1...

Microsoft блокира актуализацията на Windows 11...
23/11/2024

QNAP изтегля бъгавия фърмуе...

QNAP изтегли наскоро пусната актуализация на...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!