Bleeping Computer 網(wǎng)站披露，WordPress 表單構(gòu)建插件 Ninja Forms 存在三個(gè)安全漏洞，攻擊者可以通過(guò)這些漏洞實(shí)現(xiàn)權(quán)限提升并竊取用戶數(shù)據(jù)。

2023 年 6 月 22 日，Patchstack 的研究人員向插件開(kāi)發(fā)者 Saturday Drive 報(bào)告了這三個(gè)漏洞詳情，并警告稱(chēng)漏洞會(huì)影響 NinjaForms 3.6.25 及以上版本。

2023 年 7 月 4 日，Saturday Drive 發(fā)布新版本 3.6.26 修復(fù)了漏洞問(wèn)題，但根據(jù) WordPress.org 統(tǒng)計(jì)數(shù)據(jù)顯示只有大約一半的 NinjaForms 用戶下載最新版本。（大約 40 萬(wàn)個(gè)網(wǎng)站仍未更新，可能存在被攻擊的風(fēng)險(xiǎn)）

漏洞詳情

Patchstack 發(fā)現(xiàn)的第一個(gè)漏洞是 2CVE-2023-37979，該漏洞是一個(gè)基于 POST 的反射 XSS（跨站點(diǎn)腳本）漏洞，允許未經(jīng)身份驗(yàn)證的用戶通過(guò)誘騙特權(quán)用戶訪問(wèn)特制的網(wǎng)頁(yè)，以此提升權(quán)限并竊取信息。

第二個(gè)漏洞和第三個(gè)漏洞分別被跟蹤為 CVE-2023-38393 和 CVE-2023-3 8386，允許訂閱服務(wù)器和貢獻(xiàn)者導(dǎo)出用戶在受影響的 WordPress 網(wǎng)站上提交的所有數(shù)據(jù)。

值得一提的是，以上漏洞都高度危險(xiǎn)，尤其是 CVE-2023-38393 更是如此。任何支持會(huì)員資格和用戶注冊(cè)的網(wǎng)站，一旦使用易受攻擊的 Ninja Forms 插件版本，都容易因該漏洞而發(fā)生大規(guī)模數(shù)據(jù)泄露事件。

包含 CVE-2023-38393 的處理功能

Saturday Drive 在 3.6.26 版本中應(yīng)用的修補(bǔ)程序主要包括為損壞的訪問(wèn)控制問(wèn)題添加權(quán)限檢查，以及防止觸發(fā)已識(shí)別 XSS 的功能訪問(wèn)限制。

Patchstack 報(bào)告中包含了三個(gè)漏洞的詳細(xì)技術(shù)信息，因此對(duì)于懂技術(shù)的威脅攻擊者來(lái)說(shuō)，利用這些漏洞應(yīng)該是得心應(yīng)手。為防止網(wǎng)絡(luò)攻擊者利用這些漏洞，Patchstack 公開(kāi)披露漏洞的時(shí)間推遲了三周多，并一再督促Ninja Form用戶盡快進(jìn)行修補(bǔ)。

最后，建議所有使用 Ninja Forms 插件的網(wǎng)站管理員盡快更新到 3.6.26 或以上版本，如果發(fā)現(xiàn)未更新的用戶，管理員應(yīng)該從用戶的網(wǎng)站禁用插件，直到其應(yīng)用最新補(bǔ)丁。

文章來(lái)源：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette