У WordPress плагіні Ninja Forms виявлено численні вразливості

У плагіні Ninja Forms для WordPress виявлено численні уразливості, які можуть бути використані зловмисниками для підвищення привілеїв та крадіжки конфіденційних даних.

Уразливості, які отримали коди CVE-2023-37979, CVE-2023-38386 і CVE-2023-38393, впливають на версії 3.6.25 і нижче, повідомляє Patchstack у своєму звіті минулого тижня. Ninja Forms встановлений на більш ніж 800 000 сайтів.

Короткий опис кожної з уразливостей:

• CVE-2023-37979 (оцінка CVSS: 7.1) – відображений міжсайтовий скриптинг (XSS), який може дозволити будь-якому неавторизованому користувачеві досягти підвищення привілеїв на цільовому сайті WordPress шляхом обману привілейованих користувачів для відвідування спеціально створеного веб-сайту.
• CVE-2023-38386 та CVE-2023-38393 – уразливості в контролі доступу у функції експорту форм, які можуть дозволити зловмиснику з ролями “Підписник” та “Дописувач” експортувати всі відправлені форми Ninja Forms на сайті.

Користувачам плагіна рекомендується оновитися до версії 3.6.26, щоб зменшити потенційні загрози.

Це повідомлення з’явилося після того, як Patchstack виявив ще одну відображену XSS уразливість в наборі розробки програмного забезпечення (SDK) Freemius WordPress, що впливає на версії до 2.5.10 (CVE-2023-33999), яка може бути використана для отримання підвищених привілеїв.

Компанія з безпеки WordPress також виявила критичну помилку в плагіні HT Mega (CVE-2023-37999) у версіях 2.2.0 і нижче, яка дозволяє будь-якому неавторизованому користувачеві підвищити свої привілеї на сайті на WordPress.