WordPress Ninja Forms 曝出严重安全漏洞
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Bleeping Computer网站披露了WordPress表单构建插件Ninja Forms存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。插件开发者Saturday Drive已发布修复版本3.6.26,但仍有约40万个网站未更新,存在被攻击的风险。漏洞包括基于POST的反射XSS漏洞和允许导出用户数据的漏洞。Saturday Drive的修补程序添加了权限检查和访问限制,以防止漏洞被利用。建议所有使用Ninja Forms插件的网站管理员尽快更新到3.6.26或以上版本,并禁用未更新的用户的插件。
🎯
关键要点
- Bleeping Computer网站披露WordPress插件Ninja Forms存在三个安全漏洞。
- 攻击者可通过这些漏洞实现权限提升并窃取用户数据。
- 2023年6月22日,Patchstack研究人员向开发者Saturday Drive报告了漏洞详情。
- 2023年7月4日,Saturday Drive发布了修复版本3.6.26,但约40万个网站仍未更新。
- 第一个漏洞CVE-2023-37979是基于POST的反射XSS漏洞,允许未经身份验证的用户提升权限。
- 第二和第三个漏洞CVE-2023-38393和CVE-2023-38386允许导出用户提交的数据。
- CVE-2023-38393漏洞特别危险,可能导致大规模数据泄露。
- 修复版本3.6.26添加了权限检查和访问限制以防止漏洞利用。
- Patchstack推迟了漏洞公开时间以防止攻击,建议网站管理员尽快更新插件。
- 未更新用户的插件应被禁用,直到应用最新补丁。
➡️
