آسیب پذیری های موجود در دو افزونه فرم تماس وردپرس + 1.1 میلیون را تحت تأثیر قرار می دهد

توصیه هایی در مورد آسیب پذیری های کشف شده در دو مورد از محبوب ترین افزونه های فرم تماس وردپرس صادر شده است که به طور بالقوه بر بیش از 1.1 میلیون نصب تأثیر می گذارد. به کاربران توصیه می شود افزونه های خود را به آخرین نسخه به روز کنند.

+1 میلیون نصب فرم تماس وردپرس

افزونه‌های فرم تماس تحت تأثیر Ninja Forms (با بیش از 800000 نصب) و Contact Form Plugin by Fluent Forms (+300,000 نصب) هستند. آسیب پذیری ها به یکدیگر مرتبط نیستند و از نقص های امنیتی جداگانه ناشی می شوند.

Ninja Forms تحت تأثیر شکست در فرار از URL است که می تواند منجر به یک حمله اسکریپت بین سایتی منعکس شده (XSS منعکس شده) شود و آسیب پذیری Fluent Forms به دلیل بررسی توانایی ناکافی است.

نینجا اسکریپت بین سایتی را منعکس می کند

یک آسیب‌پذیری Reflected Cross-Site Scripting، که افزونه Ninja Forms در خطر آن است، می‌تواند به مهاجم اجازه دهد تا کاربر سطح مدیریت یک وب‌سایت را هدف قرار دهد تا امتیازات وب‌سایت مرتبط خود را به دست آورد. برای فریب دادن یک ادمین برای کلیک کردن روی یک پیوند، باید یک قدم اضافی بردارید. این آسیب پذیری هنوز در حال ارزیابی است و امتیاز سطح تهدید CVSS به آن اختصاص داده نشده است.

فرم های روان فاقد مجوز هستند

افزونه فرم تماس Fluent Forms فاقد یک بررسی قابلیت است که می‌تواند منجر به توانایی غیرمجاز برای تغییر یک API شود (یک API پلی بین دو نرم‌افزار مختلف است که به آنها اجازه می‌دهد با یکدیگر ارتباط برقرار کنند).

این آسیب‌پذیری مستلزم آن است که مهاجم ابتدا به مجوز سطح مشترک دست یابد، که می‌تواند در سایت‌های وردپرسی که قابلیت ثبت مشترک را فعال کرده‌اند، اما برای کسانی که این کار را نمی‌کنند، به دست آورد. به این آسیب‌پذیری نمره سطح تهدید متوسط ​​4.2 (در مقیاس 1 تا 10) اختصاص داده شد.

Wordfence این آسیب پذیری را شرح می دهد:

افزونه فرم تماس توسط Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder برای وردپرس در برابر به‌روزرسانی غیرمجاز کلید API Malichimp آسیب‌پذیر است به دلیل بررسی ناکافی قابلیت در تابع verifyRequest در همه نسخه‌ها و از جمله: 5.1.18.

این امکان را برای مدیران فرم با دسترسی در سطح مشترک و بالاتر فراهم می کند تا کلید Mailchimp API مورد استفاده برای ادغام را تغییر دهند. در همان زمان، اعتبار سنجی کلید Mailchimp API امکان هدایت مجدد درخواست‌های یکپارچه‌سازی به سرور کنترل‌شده توسط مهاجم را فراهم می‌کند.

اقدام توصیه شده

به کاربران هر دو فرم تماس توصیه می شود هر افزونه فرم تماس را به آخرین نسخه به روز کنند. فرم تماس Fluent Forms در حال حاضر در نسخه 5.2.0 است. آخرین نسخه پلاگین Ninja Forms 3.8.14 می باشد.

افزونه فرم تماس NVD Advisory for Ninja Forms را بخوانید: CVE-2024-7354

مشاوره NVD برای فرم تماس Fluent Forms را بخوانید: CVE-2024

فرم تماس با فرم های فلوئنت مشاوره Wordfence را بخوانید:
افزونه فرم تماس توسط Fluent Forms برای آزمون، نظرسنجی و کشیدن و رها کردن WP Form Builder

تصویر ویژه توسط Shutterstock/Cast Of Thousands

Source link