上周末,Ninja Forms用户收到了WordPress.org针对一个关键的PHP对象注入漏洞的强制安全更新。这个特殊的漏洞可以在没有任何认证的情况下被远程利用。它在上周被公开披露,并在最新版本3.6.11中打了补丁。补丁也被回传到3.0.34.2,3.1.10,3.2.28,3.3.21.4,3.4.34.2和3.5.8.4版本。
Wordfence注意到表单生成器插件中的一个反向安全更新,该插件有超过一百万的活跃安装。威胁分析师Chloe Chamberland在提醒该公司用户的公告中解释了这个漏洞。
我们发现了一个代码注入漏洞,使未经认证的攻击者有可能调用各种Ninja Forms类中数量有限的方法,包括一个取消序列化用户提供的内容的方法,导致对象注入。这可能使攻击者在存在独立POP链的网站上执行任意代码或删除任意文件。
该漏洞影响到Ninja Forms的 “合并标签 “功能,该功能可从Post ID和用户名等自动填充数值。Wordfence威胁分析员Ramuel Gall对该漏洞的补丁进行了逆向工程,以创建一个工作概念证明。他发现,有可能调用各种Ninja Forms类,可用于广泛的利用,包括完全接管网站。Chamberland报告说,有证据表明该漏洞在野外正被积极利用。
WordPress.org的强制安全更新是一种缓解措施,用于漏洞特别严重并影响大量用户的罕见情况。6月14日有超过68万个网站被更新。这个PHP对象注入漏洞在通用漏洞评分系统中得分为9.8分,但它还没有被赋予CVE ID。
回顾Ninja Forms以前的CVE ID,这是该插件历史上最严重的漏洞。Ninja Forms的更新日志并没有说明该威胁的严重性,而是将其归类为 “安全改进”:”
3.6.11 (2022年6月14日)
安全性增强对合并标签值进行更严格的净化处理
Ninja Forms没有在其博客或社交媒体账户上发布这一安全更新。Wordfence计划在该公司了解到更多关于攻击者如何利用该漏洞的信息后,更新其公告文本。忍者表格用户应检查他们的网站,以确保自动安全更新的顺利进行。这次更新是在6月7日Ninja Forms修补了一个不太严重的、经过验证的存储跨站脚本(XSS)漏洞之后的一周。
暂无评论内容