Több biztonsági rés is nyilvánosságra került a WordPress Ninja Forms pluginjában, amelyek kihasználása jogosultság-kiterjesztését és érzékeny adatok ellopását teheti lehetővé illetéktelen számára az érintett weboldalon.
A CVE-2023-37979, CVE-2023-38386 és CVE-2023-38393 néven nyomon követhető hibák a 3.6.25-ös és az ennél korábbi verziókat érintik. A Ninja Forms több mint 800 000 webhelyen van telepítve.
- CVE-2023-37979 (CVSS score: 7.1) – Egy POST alapú XSS hiba, amellyel jogosultság emelés érhető el.
- CVE-2023-38386 és CVE-2023-38393 – Olyan hozzáférési vezérlési hibák az űrlapbeadványok exportálási funkciójában, amelyek által a Subscriber és Contributor szerepkörrel rendelkező felhasználók exportálni tudják az összes Ninja Forms beadványt egy WordPress webhelyen.
A bővítményt használók számára ajánlott a plugin frissítése a 3.6.26-os verzióra.
