流行的 WordPress 表單插件 Ninja Form 最近更新了他們的插件以修補一個嚴重的漏洞。該漏洞被評為高嚴重性,因為它可能允許攻擊者竊取管理員級別的訪問權限並接管整個網站。
跨站請求偽造漏洞
導致這種情況的漏洞被稱為跨站點請求偽造。這種漏洞利用缺乏正常的安全檢查,然後允許攻擊者上傳或替換文件,甚至獲得管理訪問權限。
Common Weakness Enumeration 站點是這樣描述這種利用的:
“Web 應用程序沒有或不能充分驗證提交請求的用戶是否有意提供了格式正確、有效、一致的請求。
…攻擊者可能會欺騙客戶端向 Web 服務器發出無意的請求,該請求將被視為真實請求。 …並可能導致數據洩露或意外代碼執行。”
Ninja 形成高危漏洞
WordFence WordPress Security 發現了該漏洞,並立即通知了 Ninja Forms WordPress 插件的發布者。Ninja Forms 在 24 小時內立即修復了安全漏洞。
根據 WordFence 的說法,該漏洞包含在“舊版”模式中,該模式控制了恢復到舊版本的樣式功能。正是這部分代碼受到了影響。
WordFence 是這樣描述它的:
“雖然所有這些功能都使用了功能檢查,但其中兩個功能未能檢查隨機數,這些隨機數用於驗證請求是否是由合法用戶故意發送的。
......在管理員瀏覽器中執行的惡意腳本可用於添加新的管理帳戶,從而導致站點完全接管,而在訪問者瀏覽器中執行的惡意腳本可用於將該訪問者重定向到惡意站點。”
忍者形態更新日誌
Ninja Forms 插件的發布者負責任地及時更新了他們的插件。他們還在更新日誌中誠實地反映了更新的內容。
更改日誌是對軟件更新中更改內容的說明。一些插件製造商試圖通過不提及漏洞來隱藏更新的內容。
Ninja Forms 誠實地報告了更新的內容。這對於發布者來說非常重要,因為它會提醒他們是否應該立即更新某些內容,或者是否可以等待。
這表明 Ninja Forms 是一個值得信賴和負責任的 WordPress 插件發布者。
立即更新忍者表格
敦促所有使用 Ninja Forms 的發布者立即更新他們的 Ninja Forms 插件。Ninja Forms 版本 3.4.24.2 是最新版本。如果您有較早的版本,那麼您必須更新您的插件以避免這個嚴重的漏洞。
在此處閱讀有關該漏洞的 WordFence 報告:
以 Ninja 形式修補的高嚴重性漏洞
