Probleme të reja sigurie për faqet e WordPress për shkak të një plugin-i. Këtë herë fajtori është Ninja Forms i cili sipas statistikave të fundit ka tejkaluar 800,000 instalimet aktive. Ekspertët e Patchstack kanë identifikuar tre dobësi që mund të shfrytëzohen për të vjedhur të dhënat personale dhe të pagesave.
Ninja Forms: Instaloni versionin më të fundit
Plugin Ninja Forms, e zhvilluar nga Saturday Drive, ju lejon të krijoni çdo lloj formulari (formular), duke përfshirë ato për kontaktet, regjistrimin e ngjarjeve, ngarkimin e skedarëve ose pagesën. Tre dobësitë e zbuluara nga Patchstack iu raportuan zhvilluesit më 22 qershor. Çështja e sigurisë është rregulluar me versionin 3.6.26 të 4 korrikut (më i fundit është 3.6.28).
Dobësia e parë, e caktuar CVE-2023-37979, lejon një përdorues të paautentikuar të vjedhë informacione të ndjeshme pasi të ketë fituar privilegje të larta. Dobësia e dytë dhe e tretë, e treguar me CVE-2023-38393 dhe CVE-2023-38386, lejojnë përdoruesit me role parapagues dhe kontribues të eksportojnë të gjitha të dhënat e futura në formularë.
Në thelb, çdo faqe WordPress që mbështet anëtarësimin dhe regjistrimin e përdoruesve mund të pësojë një shkelje të të dhënave nëse përdoret plugin Ninja Forums.
Patchstack vendosi të publikojë detajet e dobësisë gati tre javë pas lëshimit të patch-it. Fatkeqësisht jo të gjitha faqet e WordPress janë përditësuar. Administratorët duhet të paktën të çaktivizojnë plugin-in .
Discussion about this post