Публикувани са предупреждения относно уязвимости, открити в два от най-популярните плъгини за контактни форми на WordPress, които могат да засегнат над 1,1 милиона инсталации. Потребителите се съветват да актуализират плъгините си до най-новите версии.
1,1+ милион инсталации на контактни форми на WordPress
Засегнатите плъгини за контактни форми са Ninja Forms (с над 800 000 инсталации) и Fluent Forms (с над 300 000 инсталации). Уязвимостите не са свързани помежду си и произтичат от отделни пропуски в сигурността.
Ninja Forms е засегната от невъзможност за избягване на URL адрес, което може да доведе до reflected cross-site scripting (reflected XSS), а уязвимостта на Fluent Forms се дължи на недостатъчна проверка на възможностите.
Уязвимостта Reflected Cross-Site Scripting в Ninja Forms
Уязвимостта Reflected Cross-Site Scripting, от която е изложена на риск плъгинът Ninja Forms, може да позволи на атакуващия да се насочи към потребител на ниво администратор в даден сайт, за да получи свързаните с него привилегии на сайта. Необходимо е да се предприеме допълнителна стъпка, за да се подведе администратор, който да щракне върху връзка. Тази уязвимост все още е в процес на оценка и не ѝ е присвоена оценка за ниво на заплаха по CVSS.
Липсваща оторизация на Fluent Forms
В плъгина Fluent Forms липсва проверка на възможностите, което може да доведе до неоторизирана възможност за промяна на API (API е мост между два различни софтуера, който им позволява да комуникират помежду си).
Тази уязвимост изисква от атакуващия първо да получи оторизация на ниво потребител, което може да бъде постигнато в сайтове на WordPress, в които е включена функцията за регистрация на потребители, но не е възможно за тези, в които не е включена. На тази уязвимост е присвоена средна оценка на нивото на заплаха от 4,2 (по скалата от 1 до 10).
Wordfence описва тази уязвимост:
„Плъгинът на Fluent Forms за WordPress е уязвим към неоторизирано актуализиране на API ключа на Malichimp поради недостатъчна проверка на възможностите на функцията verifyRequest във всички версии до и включително 5.1.18.
Това дава възможност на мениджърите на формуляри с достъп на ниво потребител и нагоре да променят API ключа на Mailchimp, използван за интеграция. В същото време липсващото валидиране на API ключа на Mailchimp позволява пренасочване на заявките за интеграция към контролиран от нападателя сървър.“
Препоръчително действие
На потребителите на двете форми за контакт се препоръчва да актуализират до най-новите версии на всеки плъгин. Плъгинът на Fluent Forms в момента е във версия 5.2.0. Най-новата версия на плъгина Ninja Forms е 3.8.14.