توصیه هایی در مورد آسیب پذیری های کشف شده در دو مورد از محبوب ترین افزونه های فرم تماس وردپرس صادر شده است که به طور بالقوه بر بیش از 1.1 میلیون نصب تأثیر می گذارد. به کاربران توصیه می شود افزونه های خود را به آخرین نسخه به روز کنند.
+1 میلیون نصب فرم تماس وردپرس
افزونههای فرم تماس تحت تأثیر Ninja Forms (با بیش از 800000 نصب) و Contact Form Plugin by Fluent Forms (+300,000 نصب) هستند. آسیب پذیری ها به یکدیگر مرتبط نیستند و از نقص های امنیتی جداگانه ناشی می شوند.
Ninja Forms تحت تأثیر شکست در فرار از URL است که می تواند منجر به یک حمله اسکریپت بین سایتی منعکس شده (XSS منعکس شده) شود و آسیب پذیری Fluent Forms به دلیل بررسی توانایی ناکافی است.
نینجا اسکریپت بین سایتی را منعکس می کند
یک آسیبپذیری Reflected Cross-Site Scripting، که افزونه Ninja Forms در خطر آن است، میتواند به مهاجم اجازه دهد تا کاربر سطح مدیریت یک وبسایت را هدف قرار دهد تا امتیازات وبسایت مرتبط خود را به دست آورد. برای فریب دادن یک ادمین برای کلیک کردن روی یک پیوند، باید یک قدم اضافی بردارید. این آسیب پذیری هنوز در حال ارزیابی است و امتیاز سطح تهدید CVSS به آن اختصاص داده نشده است.
فرم های روان فاقد مجوز هستند
افزونه فرم تماس Fluent Forms فاقد یک بررسی قابلیت است که میتواند منجر به توانایی غیرمجاز برای تغییر یک API شود (یک API پلی بین دو نرمافزار مختلف است که به آنها اجازه میدهد با یکدیگر ارتباط برقرار کنند).
این آسیبپذیری مستلزم آن است که مهاجم ابتدا به مجوز سطح مشترک دست یابد، که میتواند در سایتهای وردپرسی که قابلیت ثبت مشترک را فعال کردهاند، اما برای کسانی که این کار را نمیکنند، به دست آورد. به این آسیبپذیری نمره سطح تهدید متوسط 4.2 (در مقیاس 1 تا 10) اختصاص داده شد.
Wordfence این آسیب پذیری را شرح می دهد:
افزونه فرم تماس توسط Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder برای وردپرس در برابر بهروزرسانی غیرمجاز کلید API Malichimp آسیبپذیر است به دلیل بررسی ناکافی قابلیت در تابع verifyRequest در همه نسخهها و از جمله: 5.1.18.
این امکان را برای مدیران فرم با دسترسی در سطح مشترک و بالاتر فراهم می کند تا کلید Mailchimp API مورد استفاده برای ادغام را تغییر دهند. در همان زمان، اعتبار سنجی کلید Mailchimp API امکان هدایت مجدد درخواستهای یکپارچهسازی به سرور کنترلشده توسط مهاجم را فراهم میکند.
اقدام توصیه شده
به کاربران هر دو فرم تماس توصیه می شود هر افزونه فرم تماس را به آخرین نسخه به روز کنند. فرم تماس Fluent Forms در حال حاضر در نسخه 5.2.0 است. آخرین نسخه پلاگین Ninja Forms 3.8.14 می باشد.
افزونه فرم تماس NVD Advisory for Ninja Forms را بخوانید: CVE-2024-7354
مشاوره NVD برای فرم تماس Fluent Forms را بخوانید: CVE-2024
فرم تماس با فرم های فلوئنت مشاوره Wordfence را بخوانید:
افزونه فرم تماس توسط Fluent Forms برای آزمون، نظرسنجی و کشیدن و رها کردن WP Form Builder
تصویر ویژه توسط Shutterstock/Cast Of Thousands