محققان امنیت سایبری در افزونه Ninja Forms وردپرس چندین آسیب‌پذیری کشف کرده‌اند.
 
به گزارش افتانا، چندین آسیب‌پذیری در افزونه Ninja Forms وردپرس کشف و شناسایی شده است که می‌تواند توسط مهاجمان برای سرقت داده‌های حساس و افزایش سطح دسترسی مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری‌ها با شناسه‌های CVE-2023-37979، CVE-2023-38386 و CVE-2023-38393 ردیابی شده‌اند که نسخه‌های 3.6.25 و پایین‌تر این افزونه را تحت تاثیر قرار می‌دهند. Ninja Forms در بیش از ۸۰۰,۰۰۰ سایت نصب شده است.
 
آسیب‌پذیری با شناسه CVE-2023-37979 و شدت 7.1، یک نقص XSS بازتابی POST-based است که می‌تواند به کاربر احراز هویت نشده اجازه دهد تا با فریب دادن کاربران با دسترسی بالا برای بازدید از یک وب‌سایت جعلی، دسترسی‌های خود را در سایت وردپرس هدف، افزایش دهد. آسیب‌پذیری‌های CVE-2023-38386 و CVE-2023-38393 مربوط به نقص‌های کنترل دسترسی می‌باشند که مهاجم با استفاده از آن می‌تواند کلیه فرم‌ها را روی سایت وردپرس بفرستد.
 
همچنین یک نقص امنیتی مهم توسط شرکت امنیتی وردپرس در افزونه HT Mega با شناسه CVE-2023-37999 در نسخه‌های 2.2.0 و پایین‌تر کشف شده است که به کاربر احراز هویت نشده این امکان را خواهد داد تا سطح دسترسی خود را به نقش دلخواهش در سایت وردپرس افزایش دهد.
 
نسخه‌های 3.6.25 و پایین‌تر افزونه Ninja Forms تحت تاثیر این آسیب‌پذیری‌ها قرار خواهند گرفت. به مدیران سایت‌های وردپرس توصیه می‌شود مراقب باشند و به‌روزرسانی‌ها و وصله‌های امنیتی منتشر شده را جهت محافظت از وب‌سایت‌ خود در برابر خطرات امنیتی احتمالی اعمال کنند. آسیب‌پذیری مذکور در نسخه نسخه 3.6.26 وردپرس رفع شده است.