پوشش بیمهای ۱۳۰ گروه بیماری خاص و صعبالعلاج
نینجا فرم یکی از افزونههای فرمساز وردپرس است که به شما این امکان را میدهد که فرمهایی با گرافیک بسیار زیبا را با سادهترین روشهای ممکن طراحی و پیادهسازی کرده و یک فرم کامل که کاربران بتوانند اطلاعات تماس، اطلاعات سفارش و یا هر چیزی که از آنها خواسته شده است را بهوسیله آن پیادهسازی کنند، در اختیار کاربران قرار دهد.
آسیبپذیریهای امنیتی متعددی در افزونه Ninja Forms برای وردپرس فاش شده است که میتواند توسط عوامل تهدید برای افزایش امتیازات و سرقت دادههای حساس مورد سوء استفاده قرار گیرد.
Patchstack در گزارشی در هفته گذشته گفت که نقصها بهعنوان CVE-2023-37979، CVE-2023-38386 و CVE-2023-38393، نسخههای ۳٫۶٫۲۵ و پایینتر ردیابی شدهاند. Ninja Forms در بیش از ۸۰۰۰۰۰ سایت نصب شده است.
شرح مختصری از هر یک از آسیب پذیری ها در زیر آمده است :
CVE-2023-37979 : یک نقص برنامه نویسی متقابل منعکس شده مبتنی بر POST (XSS) که میتواند به هر کاربر احراز هویت نشده اجازه دهد تا با فریب دادن کاربران ممتاز برای بازدید از یک وب سایت ساخته شده خاص، به افزایش امتیاز در یک سایت وردپرس هدف دست یابد. .
CVE-2023-38386 و CVE-2023-38393: نقص های کنترل دسترسی شکسته در ویژگی صادرات فرم ارسالی که میتواند یک بازیگر بد با نقشهای مشترک و مشارکت کننده را قادر سازد تا همه فرمهای ارسالی نینجا را در یک سایت وردپرس صادر کند.
به کاربران این افزونه توصیه میشود برای کاهش تهدیدات احتمالی به نسخه ۳٫۶٫۲۶ به روزرسانی کنند.
این افشاگری زمانی صورت میگیرد که Patchstack یک نقص آسیبپذیری XSS را در کیت توسعه نرمافزار وردپرس Freemius (SDK) نشان میدهد که بر نسخههای قبل از ۲٫۵٫۱۰ (CVE-2023-33999) تأثیر میگذارد که میتوان از آن برای دریافت امتیازات بالا سوء استفاده کرد.
همچنین توسط شرکت امنیتی وردپرس، یک اشکال مهم در افزونه HT Mega (CVE-2023-37999) موجود در نسخههای ۲٫۲٫۰ و پایینتر کشف شده است که به هر کاربر احراز هویت نشده امکان میدهد امتیاز خود را به هر نقشی در سایت وردپرس افزایش دهد.
دیدگاهتان را بنویسید