用于 WordPress網(wǎng)站構(gòu)建器的非常流行的表單構(gòu)建器插件(在新標(biāo)簽中打開)超過一百萬的安裝很容易受到高嚴(yán)重性漏洞的影響�����,該漏洞可能使威脅參與者完全接管網(wǎng)站���。
Ninja Forms 最近發(fā)布了一個新補(bǔ)丁����,當(dāng)對其進(jìn)行逆向工程時��,其中包含一個代碼注入漏洞(在新標(biāo)簽中打開)這影響了 3.0 以上的所有版本����。
根據(jù) Wordfence 威脅情報負(fù)責(zé)人 Chloe Chamberland 的說法�����,通過反序列化遠(yuǎn)程執(zhí)行代碼允許威脅參與者完全接管易受攻擊的站點���。
虐待證據(jù)
“我們發(fā)現(xiàn)了一個代碼注入漏洞,該漏洞使未經(jīng)身份驗證的攻擊者可以調(diào)用各種 Ninja Forms 類中的有限數(shù)量的方法��,包括對用戶提供的內(nèi)容進(jìn)行非序列化的方法�,從而導(dǎo)致對象注入,”Chamberland 說�����。
“這可能允許攻擊者執(zhí)行任意代碼(在新標(biāo)簽中打開)或刪除存在單獨 POP 鏈的站點上的任意文件����。”
Wordfence 進(jìn)一步發(fā)現(xiàn)���,更糟糕的是��,該漏洞在野外被濫用���。
BleepingComputer進(jìn)一步發(fā)現(xiàn)����,該補(bǔ)丁被強(qiáng)制推送到大多數(shù)受影響的站點����。從補(bǔ)丁的下載統(tǒng)計數(shù)據(jù)來看,已經(jīng)有超過 730,000 個網(wǎng)站得到了補(bǔ)丁��。盡管這個數(shù)字令人鼓舞�,但它仍然留下了數(shù)十萬個易受攻擊的站點����。
那些使用 Ninja Forms 且尚未更新的用戶應(yīng)盡快手動應(yīng)用修復(fù)程序。這可以從儀表板完成�����,管理員應(yīng)該確保他們的插件更新到版本 3.6.11��。
這不是第一次在 Ninja Forms 中發(fā)現(xiàn)高嚴(yán)重性缺陷���。大約兩年前�,該插件的所有版本直到 3.4.24.2 都被發(fā)現(xiàn)受到跨站點請求偽造 (CSRF) 漏洞的影響�。這個可以用來對用戶的WordPress發(fā)起存儲跨站腳本(Stored XSS)攻擊(在新標(biāo)簽中打開)網(wǎng)站�����,基本上接管了它們���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
