安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
数以千计的 WordPress 网站强制更新以修复危险的安全漏洞
2022-06-19 15:30:23 【

用于 WordPress网站构建器的非常流行的表单构建器插件(在新标签中打开)超过一百万的安装很容易受到高严重性漏洞的影响,该漏洞可能使威胁参与者完全接管网站。


Ninja Forms 最近发布了一个新补丁,当对其进行逆向工程时,其中包含一个代码注入漏洞(在新标签中打开)这影响了 3.0 以上的所有版本。


根据 Wordfence 威胁情报负责人 Chloe Chamberland 的说法,通过反序列化远程执行代码允许威胁参与者完全接管易受攻击的站点。

虐待证据

“我们发现了一个代码注入漏洞,该漏洞使未经身份验证的攻击者可以调用各种 Ninja Forms 类中的有限数量的方法,包括对用户提供的内容进行非序列化的方法,从而导致对象注入,”Chamberland 说。

“这可能允许攻击者执行任意代码(在新标签中打开)或删除存在单独 POP 链的站点上的任意文件。”


Wordfence 进一步发现,更糟糕的是,该漏洞在野外被滥用。

BleepingComputer进一步发现,该补丁被强制推送到大多数受影响的站点。从补丁的下载统计数据来看,已经有超过 730,000 个网站得到了补丁。尽管这个数字令人鼓舞,但它仍然留下了数十万个易受攻击的站点。


那些使用 Ninja Forms 且尚未更新的用户应尽快手动应用修复程序。这可以从仪表板完成,管理员应该确保他们的插件更新到版本 3.6.11。


这不是第一次在 Ninja Forms 中发现高严重性缺陷。大约两年前,该插件的所有版本直到 3.4.24.2 都被发现受到跨站点请求伪造 (CSRF) 漏洞的影响。这个可以用来对用户的WordPress发起存储跨站脚本(Stored XSS)攻击(在新标签中打开)网站,基本上接管了它们。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇没有了 下一篇Web登录认证类漏洞总结

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800