流行的 WordPress 表单插件 Ninja Form 最近更新了他们的插件以修补一个严重的漏洞。 该漏洞被评为高严重性,因为它可能允许攻击者窃取管理员级别的访问权限并接管整个网站。
跨站请求伪造漏洞
导致这种情况的漏洞被称为跨站点请求伪造。 这种漏洞利用缺乏正常的安全检查,然后允许攻击者上传或替换文件,甚至获得管理访问权限。
这就是如何 常见弱点枚举 网站,描述了这种利用:
“Web 应用程序没有或不能充分验证提交请求的用户是否有意提供了格式良好、有效、一致的请求。
…攻击者可能有可能欺骗客户对Web服务器的无意请求,该请求将被视为真实的请求。 …并可能导致数据泄露或意外代码执行。”
Ninja 形成高危漏洞
WordFence WordPress Security 发现了该漏洞,并立即通知了 Ninja Forms WordPress 插件的发布者。 Ninja Forms 在 24 小时内立即修复了安全漏洞。
根据WordFence的说法,该漏洞包含在“遗产”模式下,该模式控制了恢复为旧版本的样式功能。 受影响的是代码的这一部分。
WordFence 是这样描述它的:
“虽然所有这些功能都使用了功能检查,但其中两个功能未能检查随机数,这些随机数用于验证请求是否是由合法用户故意发送的。
……在管理员浏览器中执行的恶意脚本可用于添加新的管理帐户,从而导致站点完全接管,而在访问者浏览器中执行的恶意脚本可用于将该访问者重定向到恶意站点。”
忍者形态更新日志
Ninja Forms 插件的发布者负责任地及时更新了他们的插件。 他们还在更新日志中诚实地反映了更新的内容。
更改日志是对软件更新中更改内容的说明。 一些插件制造商试图通过不提及漏洞来隐藏更新的内容。
Ninja Forms 诚实地报告了更新的内容。 这对于发布者来说非常重要,因为它会提醒他们是否应该立即更新某些内容,或者是否可以等待。
这表明Ninja Forms是一个值得信赖且负责任的WordPress插件出版商。
立即更新忍者表格
敦促所有使用 Ninja Forms 的发布者立即更新他们的 Ninja Forms 插件。 忍者Forms 3.4.24.2是最新版本。 如果您有较早的版本,则必须更新插件,以避免这种严重的漏洞。
在此处阅读有关该漏洞的 WordFence 报告:
更多资源
window.addEventListener( 'load', function() { setTimeout(function(){ striggerEvent( 'load2' ); }, 2000); });
window.addEventListener( 'load2', function() {
if( sopp != 'yes' && addtl_consent != '1~' && !ss_u ){
!function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)}(window,document,'script', '
if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }
fbq('init', '1321385257908563');
fbq('track', 'PageView');
fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'ninja-forms-vulnerability', content_category: 'news security wp' }); } });