Bleeping Computer网站披露了WordPress表单构建插件Ninja Forms存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。插件开发者Saturday Drive已发布修复版本3.6.26，但仍有约40万个网站未更新，存在被攻击的风险。漏洞包括基于POST的反射XSS漏洞和允许导出用户数据的漏洞。Saturday Drive的修补程序添加了权限检查和访问限制，以防止漏洞被利用。建议所有使用Ninja Forms插件的网站管理员尽快更新到3.6.26或以上版本，并禁用未更新的用户的插件。