WordPress.org 強制對關鍵 Ninja Forms 漏洞進行安全更新

上周晚些時候,Ninja Forms 用戶收到了來自 WordPress.org 的針對關鍵 PHP 對象注入漏洞的強制安全更新。 無需任何身份驗證即可遠程利用此特定漏洞。 它於上周公開披露並在最新版本 3.6.11 中進行了修補。 補丁也被反向移植到版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2 和 3.5.8.4。

Wordfence 注意到表單生成器插件中有一個向後移植的安全更新,該插件有超過一百萬的活動安裝。 威脅分析師 Chloe Chamberland 在 諮詢 提醒公司用戶:

我們發現了一個代碼注入漏洞,該漏洞使未經身份驗證的攻擊者可以調用各種 Ninja Forms 類中的有限數量的方法,包括對用戶提供的內容進行非序列化的方法,從而導致對象注入。 這可能允許攻擊者在存在單獨 POP 鏈的站點上執行任意代碼或刪除任意文件。

例如,該漏洞會影響 Ninja Forms 的「合併標籤」功能,該功能會自動填充來自帖子 ID 和用戶名的值。 Wordfence 威脅分析師 Ramuel Gall 對漏洞的補丁進行了逆向工程,以創建有效的概念證明。 他發現可以調用各種 Ninja Forms 類,這些類可用於廣泛的攻擊,包括完整的站點接管。 Chamberland 報告說,有證據表明該漏洞正在野外被積極利用。

WordPress.org 的強制安全更新是在漏洞特別嚴重並影響大量用戶的極少數情況下使用的一種緩解措施。 6 月 14 日更新了超過 680,000 個站點。這個 PHP 對象注入漏洞在通用漏洞評分系統中得分為 9.8,但尚未獲得 CVE ID。

wordpress-org-forces-security-update-for-critical-ninja-forms-vulnerability WordPress.org 強制對關鍵 Ninja Forms 漏洞進行安全更新

審查 以前的 CVE ID 對於 Ninja Forms,這是插件歷史上最嚴重的漏洞。 Ninja Forms 的變更日誌沒有傳達威脅的嚴重性,將其歸類為「安全增強」:

3.6.11(2022 年 6 月 14 日)

安全增強
* 應用更嚴格的清理來合併標籤值

Ninja Forms 沒有在其博客或社交媒體帳戶上發布有關安全更新的信息。 Wordfence 計劃更新其文本 諮詢 隨著公司更多地了解攻擊者如何利用該漏洞。 Ninja Forms 用戶應檢查他們的站點以確保自動安全更新通過。 此更新僅在 Ninja Forms 一周後發布 修補 6 月 7 日,一個不太嚴重的、經過身份驗證的存儲跨站點腳本 (XSS) 漏洞。

資源

相關文章