Ninja Forms 漏洞危机:900,000+ 站点面临潜在风险
2023-8-2 11:23:23 Author: hackernews.cc(查看原文) 阅读量:19 收藏

专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。640

WordPress插件Ninja Forms是最受欢迎的表单生成器插件,它有超过900000个活动安装。开发人员可以使用此插件创建任何类型的表单,包括联系表单和付款表单。640

第一个漏洞被追踪为CVE-2023-37979,是一个基于POST的反射XSS,未经身份验证的用户可以利用它窃取敏感信息,在本例中,可以在WordPress网站上升级权限,攻击者以此诱骗特权用户访问精心制作的网站来触发该问题。

第二个和第三个漏洞被追踪为CVE-2023-38393和CVE-2023-3 8386,是对表单提交导出功能的访问控制中断。订阅者和参与者用户可以利用这些漏洞导出WordPress网站上提交的所有Ninja表单。

这些漏洞在3.6.26版本中得到了解决。

在某些情况下,插件或主题代码需要从用户提供的字符串中调用特定的函数或类,服务商应始终检查并限制用户可以直接调用的函数或类目,还要格外注意导出数据操作,并始终对相关函数进行权限或访问控制检查。

以下是上述问题的时间表:

  • 2023年6月22日,发现了该漏洞,并联系了插件供应商。
  • 2023年7月4日,Inja Forms 3.6.26版发布,以修补报告的问题。
  • 2021年7月25日将漏洞添加到Patchstack漏洞数据库中。
  • 2021年7月27日公开发布的安全咨询文章。

转自E安全,原文链接:https://mp.weixin.qq.com/s/YXb9KvIWFZilILNTR66k2w

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/44880
如有侵权请联系:admin#unsafe.sh