通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

WordPress Ninja Forms 曝出严重安全漏洞

Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据。1690515859_64c33993af0b1a24fdea0.png!small?1690515859713

2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情,并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。

2023 年 7 月 4 日,Saturday Drive 发布新版本 3.6.26 修复了漏洞问题,但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。(大约 40 万个网站仍未更新,可能存在被攻击的风险)

漏洞详情

Patchstack 发现的第一个漏洞是 2CVE-2023-37979,该漏洞是一个基于 POST 的反射 XSS(跨站点脚本)漏洞,允许未经身份验证的用户通过诱骗特权用户访问特制的网页,以此提升权限并窃取信息。

第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386,允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。

值得一提的是,以上漏洞都高度危险,尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站,一旦使用易受攻击的 Ninja Forms 插件版本,都容易因该漏洞而发生大规模数据泄露事件。1690515844_64c3398496406def5c152.png!small?1690515844310

包含 CVE-2023-38393 的处理功能

Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查,以及防止触发已识别 XSS 的功能访问限制。

Patchstack 报告中包含了三个漏洞的详细技术信息,因此对于懂技术的威胁攻击者来说,利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞,Patchstack 公开披露漏洞的时间推迟了三周多,并一再督促Ninja Form用户尽快进行修补。

最后,建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本,如果发现未更新的用户,管理员应该从用户的网站禁用插件,直到其应用最新补丁。

文章来源:

https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette

文章来自:https://www.freebuf.com/

相关文章