O plugin Ninja Forms é bastante popular entre instalações do WordPress, permitindo aos administradores dos sites criarem, rapidamente, formulários para os mais variados fins. No entanto, foi recentemente descoberta uma vulnerabilidade no mesmo que, quando explorada, pode permitir o roubo de dados dos formulários.
Investigadores da empresa de segurança Patchstack revelaram ter descoberto uma falha que afeta todas as versões do Ninja Forms até à 3.6.25. Os criadores responsáveis pela extensão corrigiram a falha no dia 4 de Julho de 2023, com a versão 3.6.26 – que foi lançada na mesma altura.
No entanto, os dados do portal da WordPress demonstram que as versões antigas, e ainda afetadas pela falha, encontram-se instaladas num elevado número de sites WordPress.
A primeira falha, com o código CVE-2023-37979, permite que os atacantes possam criar pedidos especiais que, caso sejam enviados aos administradores do site, podem permitir a terceiros o acesso administrativo ao mesmo.
Por sua vez, as falhas CVE-2023-38393 e CVE-2023-38386, que foram descobertas igualmente pelos investigadores da Patchstack, pode permitir que os atacantes obtenham todos os dados que foram enviados usando os formulários criados pelo plugin.
Todas as falhas encontram-se classificadas como sendo de elevada gravidade, sobretudo porque podem ser facilmente exploradas pelos atacantes, e podem comprometer informação potencialmente sensível – dependendo dos conteúdos que são enviados dos formulários dos sites afetados.
Apesar de as falhas terem sido corrigidas com a atualização 3.6.26, os criadores do plugin decidiram adiar por algumas semanas a revelação pública das mesmas, de forma a garantir que o máximo de instalações possíveis são atualizadas antes das falhas serem publicadas.
Para os administradores de sites WordPress que usem este plugin, recomenda-se que as instalações sejam atualizadas o mais rapidamente possível, para evitar a exploração.
Nenhum comentário
Seja o primeiro!