Sitemap

Ninja Forms 插件漏洞

流行的 WordPress 表单插件 Ninja Form 最近更新了他们的插件以修补一个严重的漏洞。该漏洞被评为高严重性,因为它可能允许攻击者窃取管理员级别的访问权限并接管整个网站。

跨站请求伪造漏洞

导致这种情况的漏洞被称为跨站点请求伪造。这种漏洞利用缺乏正常的安全检查,然后允许攻击者上传或替换文件,甚至获得管理访问权限。

Common Weakness Enumeration 站点是这样描述这种利用的:

“Web 应用程序没有或不能充分验证提交请求的用户是否有意提供了格式良好、有效、一致的请求。

…攻击者可能会欺骗客户端向 Web 服务器发出无意的请求,该请求将被视为真实请求。 …并可能导致数据泄露或意外代码执行。”

Ninja 形成高危漏洞

WordFence WordPress Security 发现了该漏洞,并立即通知了 Ninja Forms WordPress 插件的发布者。Ninja Forms 在 24 小时内立即修复了安全漏洞。

根据 WordFence 的说法,该漏洞包含在“旧版”模式中,该模式控制了恢复到旧版本的样式功能。正是这部分代码受到了影响。

WordFence 是这样描述它的:

“虽然所有这些功能都使用了功能检查,但其中两个功能未能检查随机数,这些随机数用于验证请求是否是由合法用户故意发送的。

......在管理员浏览器中执行的恶意脚本可用于添加新的管理帐户,从而导致站点完全接管,而在访问者浏览器中执行的恶意脚本可用于将该访问者重定向到恶意站点。”

忍者形态更新日志

Ninja Forms 插件的发布者负责任地及时更新了他们的插件。他们还在更新日志中诚实地反映了更新的内容。

更改日志是对软件更新中更改内容的说明。一些插件制造商试图通过不提及漏洞来隐藏更新的内容。

Ninja Forms 诚实地报告了更新的内容。这对于发布者来说非常重要,因为它会提醒他们是否应该立即更新某些内容,或者是否可以等待。

这表明 Ninja Forms 是一个值得信赖和负责任的 WordPress 插件发布者。

立即更新忍者表格

敦促所有使用 Ninja Forms 的发布者立即更新他们的 Ninja Forms 插件。Ninja Forms 版本 3.4.24.2 是最新版本。如果您有较早的版本,那么您必须更新您的插件以避免这个严重的漏洞。

在此处阅读有关该漏洞的 WordFence 报告:

以 Ninja 形式修补的高严重性漏洞

更多资源