Bleeping Computer 網(wǎng)站披露，WordPress 表單構(gòu)建插件 Ninja Forms 存在三個安全漏洞，攻擊者可以通過這些漏洞實現(xiàn)權(quán)限提升并竊取用戶數(shù)據(jù)。

2023 年 6 月 22 日，Patchstack 的研究人員向插件開發(fā)者 Saturday Drive 報告了這三個漏洞詳情，并警告稱漏洞會影響 NinjaForms 3.6.25 及以上版本。

2023 年 7 月 4 日，Saturday Drive 發(fā)布新版本 3.6.26 修復(fù)了漏洞問題，但根據(jù) WordPress.org 統(tǒng)計數(shù)據(jù)顯示只有大約一半的 NinjaForms 用戶下載最新版本。（大約 40 萬個網(wǎng)站仍未更新，可能存在被攻擊的風(fēng)險）

漏洞詳情

Patchstack 發(fā)現(xiàn)的第一個漏洞是 2CVE-2023-37979，該漏洞是一個基于 POST 的反射 XSS（跨站點腳本）漏洞，允許未經(jīng)身份驗證的用戶通過誘騙特權(quán)用戶訪問特制的網(wǎng)頁，以此提升權(quán)限并竊取信息。

第二個漏洞和第三個漏洞分別被跟蹤為 CVE-2023-38393 和 CVE-2023-3 8386，允許訂閱服務(wù)器和貢獻(xiàn)者導(dǎo)出用戶在受影響的 WordPress 網(wǎng)站上提交的所有數(shù)據(jù)。

值得一提的是，以上漏洞都高度危險，尤其是 CVE-2023-38393 更是如此。任何支持會員資格和用戶注冊的網(wǎng)站，一旦使用易受攻擊的 Ninja Forms 插件版本，都容易因該漏洞而發(fā)生大規(guī)模數(shù)據(jù)泄露事件。

包含 CVE-2023-38393 的處理功能

Saturday Drive 在 3.6.26 版本中應(yīng)用的修補(bǔ)程序主要包括為損壞的訪問控制問題添加權(quán)限檢查，以及防止觸發(fā)已識別 XSS 的功能訪問限制。

Patchstack 報告中包含了三個漏洞的詳細(xì)技術(shù)信息，因此對于懂技術(shù)的威脅攻擊者來說，利用這些漏洞應(yīng)該是得心應(yīng)手。為防止網(wǎng)絡(luò)攻擊者利用這些漏洞，Patchstack 公開披露漏洞的時間推遲了三周多，并一再督促Ninja Form用戶盡快進(jìn)行修補(bǔ)。

最后，建議所有使用 Ninja Forms 插件的網(wǎng)站管理員盡快更新到 3.6.26 或以上版本，如果發(fā)現(xiàn)未更新的用戶，管理員應(yīng)該從用戶的網(wǎng)站禁用插件，直到其應(yīng)用最新補(bǔ)丁。

文章來源：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette