关键词
窃取数据
Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据
2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情,并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。
2023 年 7 月 4 日,Saturday Drive 发布新版本 3.6.26 修复了漏洞问题,但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。(大约 40 万个网站仍未更新,可能存在被攻击的风险)
漏洞详情
Patchstack 发现的第一个漏洞是 2CVE-2023-37979,该漏洞是一个基于 POST 的反射 XSS(跨站点脚本)漏洞,允许未经身份验证的用户通过诱骗特权用户访问特制的网页,以此提升权限并窃取信息。
第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386,允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。
值得一提的是,以上漏洞都高度危险,尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站,一旦使用易受攻击的 Ninja Forms 插件版本,都容易因该漏洞而发生大规模数据泄露事件。
包含 CVE-2023-38393 的处理功能
Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查,以及防止触发已识别 XSS 的功能访问限制。
Patchstack 报告中包含了三个漏洞的详细技术信息,因此对于懂技术的威胁攻击者来说,利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞,Patchstack 公开披露漏洞的时间推迟了三周多,并一再督促Ninja Form用户尽快进行修补。
最后,建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本,如果发现未更新的用户,管理员应该从用户的网站禁用插件,直到其应用最新补丁。
END
阅读推荐
【安全圈】全球92万台!RouterOS漏洞曝光:设备面临大规模攻击
【安全圈】美国SEC要求上市公司在确定网络攻击属于重大事件后的四个工作日内披露信息
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论