آسیب پذیری در فرم های روان افزونه فرم تماس وردپرس
آسیب پذیری SQL Injection در فرم تماس Fluent Forms برای وردپرس بیش از 300000 سایت را تحت تأثیر قرار می دهد. گفتنی است که آسیب پذیری افزونه فرم تماس وردپرس به هکرها اجازه دسترسی به پایگاه داده را می دهد. این آسیبپذیری ممکن است در ژوئن اصلاح شده باشد، اما به تازگی در 3 نوامبر 2023 اعلام شده است.
Fluent Forms Contact Form Builder یکی از محبوب ترین فرم های تماس برای وردپرس است که بیش از 300000 نصب دارد. رابط drag-and-drop آن ایجاد فرم های تماس سفارشی را آسان می کند تا کاربران مجبور نباشند نحوه کدنویسی را یاد بگیرند.
امکان استفاده از افزونه برای ایجاد هر نوع فرم ورودی، آن را به یک انتخاب برتر تبدیل می کند. کاربران می توانند از این افزونه فرم تماس وردپرس برای ایجاد فرم های اشتراک، فرم های پرداخت و فرم هایی برای ایجاد آزمون ها استفاده کنند. به علاوه با برنامه های شخص ثالث مانند MailChimp، Zapier و Slack ادغام می شود.
نکته مهم این است که قابلیت تجزیه و تحلیل بومی نیز دارد. این انعطافپذیری باورنکردنی Fluent Forms را به یک انتخاب برتر تبدیل میکند، زیرا کاربران میتوانند تنها با یک افزونه کارهای زیادی انجام دهند.
هر افزونهای که به بازدیدکنندگان سایت اجازه میدهد مستقیماً دادهها را به پایگاه داده وارد کنند، مخصوصاً فرمهای تماس، باید این ورودیها را پردازش کنند تا سهواً به هکرها اجازه ورود اسکریپتها یا دستورات SQL را ندهند که به کاربران مخرب اجازه ایجاد تغییرات غیرمنتظره را میدهد.
این آسیبپذیری خاص باعث میشود که افزونه Fluent Forms به روی یک آسیبپذیری تزریق SQL باز شود. SQL که به معنای زبان پرس و جو ساختاریافته است، زبانی است که برای تعامل با پایگاههای داده استفاده میشود. پرس و جوی SQL فرمانی برای دسترسی، تغییر یا سازماندهی داده هایی است که در یک پایگاه داده ذخیره شده اند.
حمله تزریق SQL زمانی رخ می دهد که یک مهاجم مخرب می تواند از یک رابط ورودی قانونی استفاده کند تا دستور SQL را وارد کند که می تواند با پایگاه داده تعامل داشته باشد.
اگرچه مشاوره Patchstack بیان میکند که این آسیبپذیری در نسخه 5.0.0 رفع شده است، اما طبق گزارش تغییرات Fluent Form Contact Form Builder، که در آن تغییرات نرمافزار به طور معمول ثبت میشود، هیچ نشانهای مبنی بر اصلاح امنیتی وجود ندارد. توصیه می شود که کاربران فرم تماس در اسرع وقت افزونه خود را به روز کنند.