Nuovi problemi di sicurezza per i siti WordPress dovuti ad un plugin. Questa volta il colpevole è Ninja Forms che, in base alle ultime statistiche, ha superato 800.000 installazioni attive. Gli esperti di Patchstack hanno individuato tre vulnerabilità che possono essere sfruttate per rubare dati personali e di pagamento.
Ninja Forms: installare l’ultima versione
Il plugin Ninja Forms, sviluppato da Saturday Drive, permette di creare qualsiasi tipo di form (modulo), tra cui quelli per contatti, registrazione eventi, upload di file o pagamento. Le tre vulnerabilità scoperte da Patchstack sono state segnalate allo sviluppatore il 22 giugno. Il problema di sicurezza è stato risolto con la versione 3.6.26 del 4 luglio (quella più recente è 3.6.28).
La prima vulnerabilità, indicata con CVE-2023-37979, consente ad un utente non autenticato di rubare informazioni sensibili, dopo aver ottenuto privilegi elevati. La seconda e terza vulnerabilità, indicate con CVE-2023-38393 e CVE-2023-38386, permettono agli utenti con ruoli di sottoscrittore e contributore di esportare tutti i dati inseriti nei form.
In pratica, ogni sito WordPress che supporta membership e registrazione di utenti potrebbe subire un data breach, se viene utilizzato il plugin Ninja Forums.
Patchstack ha deciso di pubblicare i dettagli delle vulnerabilità quasi tre settimane dopo il rilascio della patch. Purtroppo non tutti i siti WordPress sono stati aggiornati. Gli amministratori dovrebbero almeno disattivare il plugin.