WordPress Ninja Forms plugin flaw lets hackers steal submitted data
2023/07/27 BleepingComputer — WordPress で人気のフォーム作成プラグイン Ninja Forms には、攻撃者に特権への昇格を許し、ユーザー・データ窃取へといたる、3つの脆弱性が存在する。2023年6月22日に Patchstack の研究者たちは、この3つの脆弱性を発見し、プラグインの開発元である Saturday Drive に情報を公開した。そして、2023年7月4日に、Saturday Drive はバージョン 3.6.26 をリリースし、脆弱性を修正した。しかし、WordPress.org の統計によると、Ninja Forms の最新リリースをダウンロードしたのは、すべてのユーザーの約半数に過ぎず、約 40万件のサイトに攻撃の可能性が残されているという。
3つの脆弱性の詳細
Patchstack が発見した、1番目の脆弱性 CVE-2023-37979 は POST ベースの反射型 XSS (cross-site scripting) の欠陥であり、認証されていないユーザーが特権ユーザーを騙して、特別に細工された Web ページにアクセスさせることで、自身の権限を昇格させ、情報の窃取を可能にするものだ。
2番目の脆弱性 CVE-2023-38393 と、3番目の CVE-2023-38386 は、プラグインのフォーム投稿エクスポート機能におけるアクセス制御の問題であり、影響を受けたWordPressサイトでユーザーが投稿した全てのデータを、Subscribers と Contributors がエクスポートできてしまうというものだ。
これらの問題は、深刻度 High と評価されているが、CVE-2023-38393 は特に危険である。
会員登録やユーザー登録をサポートするサイトで、脆弱な Ninja Forms プラグインのバージョンを使用している場合には、その欠陥による大規模なデータ漏洩インシデントへと至る可能性がある。
Ninja Forms バージョン 3.6.26 で適用されたパッチには、アクセス制御の不具合に対するパーミッション・チェックの追加や、特定された XSS のトリガーを防止するための関数アクセス制限などが含まれる。
上記の欠陥の公表は、ハッカーの注意を引かないようにするために、また、Ninja Form ユーザーがパッチを適用する時間を確保するために、3 週間以上も遅れて実施された。しかし、現時点では、かなりの数のユーザーがパッチ未適用という状態である。
Patchstack のカバレッジには、これらの3つの脆弱性に関する詳細な技術情報が含まれているため、知識のある脅威アクターたちが、それらを悪用することは容易である。
したがって Ninja Forms プラグインを使用している全ての Web サイト管理者たちには、可能な限り早急にバージョン 3.6.26 以降へのアップデートを行うことが推奨される。それが不可能な場合は、パッチの適用が可能になるまで、このプラグインを無効化すべきだろう。
WordPress の Ninja Forms プラグインですが、2022/06/16 の「WordPress の Ninja Forms プラグインに深刻な脆弱性:73万のサイトに強制アップデートが適用」で伝えられた内容には、Patchstack の記載がないため、おそらく別物なのだと思います。現時点で、約 40万件のサイトに攻撃の可能性が残されているようですので、ご確認ください。よろしければ、WordPress で検索も、ご利用ください。
You must be logged in to post a comment.