上周晚些时候,Ninja Forms 用户收到了来自 WordPress.org 的针对关键 PHP 对象注入漏洞的强制安全更新。 无需任何身份验证即可远程利用此特定漏洞。 它于上周公开披露并在最新版本 3.6.11 中进行了修补。 补丁也被反向移植到版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2 和 3.5.8.4。
Wordfence 注意到表单生成器插件中有一个向后移植的安全更新,该插件有超过一百万的活动安装。 威胁分析师 Chloe Chamberland 在 咨询 提醒公司用户:
我们发现了一个代码注入漏洞,该漏洞使未经身份验证的攻击者可以调用各种 Ninja Forms 类中的有限数量的方法,包括对用户提供的内容进行非序列化的方法,从而导致对象注入。 这可能允许攻击者在存在单独 POP 链的站点上执行任意代码或删除任意文件。
例如,该漏洞会影响 Ninja Forms 的“合并标签”功能,该功能会自动填充来自帖子 ID 和用户名的值。 Wordfence 威胁分析师 Ramuel Gall 对漏洞的补丁进行了逆向工程,以创建有效的概念证明。 他发现可以调用各种 Ninja Forms 类,这些类可用于广泛的攻击,包括完整的站点接管。 Chamberland 报告说,有证据表明该漏洞正在野外被积极利用。
WordPress.org 的强制安全更新是在漏洞特别严重并影响大量用户的极少数情况下使用的一种缓解措施。 6 月 14 日更新了超过 680,000 个站点。这个 PHP 对象注入漏洞在通用漏洞评分系统中得分为 9.8,但尚未获得 CVE ID。
审查 以前的 CVE ID 对于 Ninja Forms,这是插件历史上最严重的漏洞。 Ninja Forms 的变更日志没有传达威胁的严重性,将其归类为“安全增强”:
3.6.11(2022 年 6 月 14 日)
安全增强
* 应用更严格的清理来合并标签值
Ninja Forms 没有在其博客或社交媒体帐户上发布有关安全更新的信息。 Wordfence 计划更新其文本 咨询 随着公司更多地了解攻击者如何利用该漏洞。 Ninja Forms 用户应检查他们的站点以确保自动安全更新通过。 此更新仅在 Ninja Forms 一周后发布 修补 6 月 7 日,一个不太严重的、经过身份验证的存储跨站点脚本 (XSS) 漏洞。