วันนี้ทางทีม Wordfence ได้ออกมาแจ้งเตือนเกี่ยวกับ 2 ช่องโหว่ที่พบในปลั๊กอิน Ninja Forms สำหรับ WordPress
โดยทางทีมได้พบช่องโหว่นี้เมื่อวันที่ 3 สิงหาคมที่ผ่านมา และได้แจ้งไปยังผู้พัฒนาปลั๊กอินนี้แล้ว หลังจากนั้นไม่นานทางผู้พัฒนาก็ได้ปล่อยแพตช์อัปเดตเพื่ออุดช่องโหว่ทั้งสองนี้แล้วเมื่อวันที่ 7สิงหาคม ที่ผ่านมาคือเวอร์ชัน 3.5.8.2
ช่องโหว่ทั้ง 2 ได้แก่
- ช่องโหว่หมายเลข CVE-2021-34647 เป็นช่องโหว่ที่เกี่ยวข้องกับการเปิดเผยข้อมูลที่สำคัญ ซึ่งเมื่อมีการลงทะเบียนเข้ามา ระบบจะไม่มีการตรวจสอบการ Login การเข้าใช้งานของผู้ใช้ว่ามีสิทธิ์ใช้งานฟังก์ชัน _user_logged_in() หรือไม่ แฮกเกอร์จะใช้ประโยชน์ตรงนี้ส่งข้อมูลทุกอย่างที่อยู่ใน Form ได้ ข้อมูลเหล่านี้อาจจะมีข้อมูลส่วนบุคคลที่สำคัญๆ อยู่ด้วยก็ได้ ทั้งนี้ก็ขึ้นอยู่กับว่า Form ที่สร้างขึ้นมานั้นใช้เก็บข้อมูลอะไรบ้างระดับความรุนแรงของช่องโหว่คือ 6.5 (ปานกลาง) ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอิน Ninja Forms ตั้งแต่เวอร์ชั่น 3.5.7 ลงไป
- ช่องโหว่หมายเลข CVE-2021-34648 เป็นช่องโหว่ที่เกี่ยวกับการส่งออกอีเมลจำนวนมาก ช่องโหว่นี้จะใช้การตรวจสอบความถูกต้องของฟังก์ชัน Permissions_callback ซึ่งปกติแล้วเจ้าของเว็บไซต์จะใช้ฟังก์ชันนี้ทำการส่งอีเมลแจ้งเตือนสมาชิก แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่ของปลั๊กอินผ่านทางฟังก์ชันนี้ทำการสร้างและส่งอีเมลเพื่อทำการโจมตีแบบฟิชชิ่ง หลอกเจ้าของเว็บไซต์ว่าอีเมลนี้มาจากเว็บไซต์ของตนเอง และหลอกขอรหัสผ่านเพื่อเข้ายึดเว็บไซต์ได้ระดับความรุนแรงของช่องโหว่คือ 6.5 (ปานกลาง) ช่องโหว่นี้ส่งผลกระทบกับปลั๊กอิน Ninja Forms ตั้งแต่เวอร์ชั่น 3.5.7 ลงไป