WordPress.org针对关键的Ninja Forms插件漏洞强制进行安全更新

上周末,Ninja Forms用户收到了WordPress.org针对一个关键的PHP对象注入漏洞的强制安全更新。这个特殊的漏洞可以在没有任何认证的情况下被远程利用。它在上周被公开披露,并在最新版本3.6.11中打了补丁。补丁也被回传到3.0.34.2,3.1.10,3.2.28,3.3.21.4,3.4.34.2和3.5.8.4版本。

Wordfence注意到表单生成器插件中的一个反向安全更新,该插件有超过一百万的活跃安装。威胁分析师Chloe Chamberland在提醒该公司用户的公告中解释了这个漏洞。

我们发现了一个代码注入漏洞,使未经认证的攻击者有可能调用各种Ninja Forms类中数量有限的方法,包括一个取消序列化用户提供的内容的方法,导致对象注入。这可能使攻击者在存在独立POP链的网站上执行任意代码或删除任意文件。

该漏洞影响到Ninja Forms的 "合并标签 "功能,该功能可从Post ID和用户名等自动填充数值。Wordfence威胁分析员Ramuel Gall对该漏洞的补丁进行了逆向工程,以创建一个工作概念证明。他发现,有可能调用各种Ninja Forms类,可用于广泛的利用,包括完全接管网站。Chamberland报告说,有证据表明该漏洞在野外正被积极利用。

WordPress.org的强制安全更新是一种缓解措施,用于漏洞特别严重并影响大量用户的罕见情况。6月14日有超过68万个网站被更新。这个PHP对象注入漏洞在通用漏洞评分系统中得分为9.8分,但它还没有被赋予CVE ID。

WordPress.org针对关键的Ninja Forms插件漏洞强制进行安全更新插图

回顾Ninja Forms以前的CVE ID,这是该插件历史上最严重的漏洞。Ninja Forms的更新日志并没有说明该威胁的严重性,而是将其归类为 "安全改进":"

3.6.11 (2022年6月14日)
安全性增强

对合并标签值进行更严格的净化处理

Ninja Forms没有在其博客或社交媒体账户上发布这一安全更新。Wordfence计划在该公司了解到更多关于攻击者如何利用该漏洞的信息后,更新其公告文本。忍者表格用户应检查他们的网站,以确保自动安全更新的顺利进行。这次更新是在6月7日Ninja Forms修补了一个不太严重的、经过验证的存储跨站脚本(XSS)漏洞之后的一周。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《WordPress.org针对关键的Ninja Forms插件漏洞强制进行安全更新》
文章链接:https://www.banzhuti.com/wordpress-org-forces-security-update-for-critical-ninja-forms-vulnerability.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活

点击按钮进行验证