워드프레스 플러그인 닌자폼즈(Ninga Forms) 취약점

안녕하세요

 

오늘은 워드프레스에서 인기있는 플러그인인 닌자폼즈(Ninja Forms)의 취약점 소식에 대해 말씀드리겠습니다.

 

지난 6월 22일에 플러그인 개발자에 의해 닌자폼즈의 3가지의 취약점이 발견되었으며 이는 3.6.25 이전버전에 영향을 미친다고 경고하고 있습니다.

 

개발자는 취약점을 수정하기 위해 7월 4일에 3.6.26을 출시하였으나 해당 플러그인 사용자 중 절반만이 최신버전으로 업데이트 하였다고 합니다.

 

취약점의 종류는 CVE-2023-37979, CVE-2023-38386, CVE-2023-38393이며, 권한 상승과 민감 정보 유출을 가능하게 합니다.

 

CVE-2023-37979

인증되지 않은 사용자가 권한을 상승시켜 특수 제작된 웹페이지를 방문하도록 속여 정보를 훔치는 POST 기반 반영 XSS(교차 사이트 스크립팅) 결함입니다.

 

CVE-2023-38386, CVE-2023-38393

플러그인의 양식 제출 내보내기 기능에 대한 손상된 액세스 제어 결함으로 구독자와 기여자가 사용자가 영향을 받는 워드프레스 사이트에 제출한 모든 데이터를 내보낼 수 있습니다.

버전 3.6.26에서 개발자가 적용한 패치에는 손상된 접근 제어 문제에 대한 권한 검사 추가 및 식별된 XSS 트리거를 방지하는 기능 접근 제한이 포함됩니다.

Ninja Forms 플러그인을 사용하는 모든 웹사이트 관리자는 가능한 한 빨리 버전 3.6.26 이상으로 업데이트하는 것이 좋으며 불가능할 경우 패치를 적용할 수 있을 때까지 사이트에서 플러그인을 비활성화해야 하는것을 추천드립니다.