آسیب پذیری افزونه وردپرس Metform Elementor Contact Form Builder

پایگاه ملی آسیب‌پذیری دولت ایالات متحده (NVD) توصیه‌ای درباره آسیب‌پذیری مؤثر بر افزونه وردپرس Metform Elementor Contact Form Builder منتشر کرد که می‌تواند اطلاعات حساس را فاش کند.

فرم ساز تماس با Metform Elementor برای وردپرس

سازنده فرم تماس Metform Elementor یک افزونه شخص ثالث برای پلاگین صفحه ساز محبوب Elementor با بیش از 200000 نصب است.

این یک رابط کشیدن و رها کردن را ارائه می دهد که ساخت فرم های تماس از جمله فرم های چند مرحله ای را آسان می کند.

افزونه وردپرس سازنده فرم تماس Metform برای Elementor به مبتدیان بدون مهارت کدنویسی اجازه می‌دهد تا فرم‌های نظرسنجی، فرم‌های تماس، فرم‌های بازخورد ارجاع را ایجاد کنند و همچنین می‌توانند فرمی را ذخیره کنند تا کاربر در صورت از دست دادن و بازیابی اتصال به اینترنت بتواند به فرم بازگردد.

طبق مخزن رسمی افزونه وردپرس:

MetForm، سازنده فرم تماس وردپرس با کشیدن و رها کردن، افزونه‌ای برای Elementor است، هر فرم تماس سریع و ایمن را با قابلیت کشیدن و رها کردن انعطاف‌پذیری خود بسازید.

می‌تواند چندین فرم تماس را مدیریت کند و می‌توانید فرم چند مرحله‌ای را با سازنده Elementor سفارشی کنید.

آسیب پذیری افشای اطلاعات

این آسیب پذیری به مهاجم اجازه می دهد تا اطلاعات حساس را به دست آورد.

این آسیب‌پذیری توسط NVD به‌عنوان یک تهدید سطح متوسط ​​رتبه‌بندی می‌شود، زیرا به مهاجم نیاز دارد تا نقش کاربری در سطح مشترک یا بالاتر را به دست آورد.

نقش کاربر در سطح مشترک، نوار نسبتاً پایینی برای فعال‌سازی اکسپلویت است، زیرا دریافت آن آسان‌تر از نقش کاربر در سطح مدیر یا ویرایشگر است.

یک مهاجم فقط باید در یک وب سایت مشترک شود تا بتواند حمله ای را انجام دهد.

وب سایت Elementor نقش کاربر مشترک را شرح می دهد:

مشترک وردپرس کاربر سایتی است که فقط می تواند نمایه خود را ویرایش کند، پست ها را بخواند و نظر بگذارد.

وردپرس از مفهوم «نقش‌ها» استفاده می‌کند تا صاحب سایت را قادر سازد تا مجموعه‌ای از وظایف (قابلیت‌ها) را که کاربران می‌توانند در سایت انجام دهند یا انجام ندهند را کنترل و مدیریت کنند.

مشترک پایین ترین سطح نقش کاربر با کمترین مجوزها است.»

بنابراین، یک مهاجم می تواند هک سایت را با پایین ترین سطح نقش کاربر آغاز کند.

NVD تهدید را شرح می دهد:

«سازنده فرم تماس Metform Elementor برای وردپرس در برابر افشای اطلاعات از طریق کد کوتاه «mf_first_name» در نسخه‌های تا، و از جمله، 3.3.1 آسیب‌پذیر است.

این به مهاجمان احراز هویت شده، با قابلیت‌های سطح مشترک یا بالاتر اجازه می‌دهد تا اطلاعات حساسی درباره ارسال‌های فرم دلخواه، از جمله نام ارسال‌کننده، به دست آورند.»

به روز رسانی پلاگین برای کاهش تهدید حمله

این آسیب‌پذیری بر نسخه‌های افزونه فرم‌ساز تماس Metform Elementor تا و از جمله 3.3.1 تأثیر می‌گذارد.

جدیدترین نسخه این افزونه 3.4.0 است.

Metform Elementor Contact Form Builder نسخه 3.3.2 نسخه ای است که این آسیب پذیری را برطرف کرده است.

با توجه به تغییرات رسمی Metform Elementor Form Builder Contact:

“نسخه 3.3.2

… بهبود یافته: بررسی امنیت، عدم وجود و مجوز.

توصیه رسمی NVD را بخوانید:

CVE-2023-0689 جزئیات

تصویر برجسته توسط Shutterstock/pedrorsfernandes