上周,有100多万用户的 wordpress 表单生成插件 ninja forms 被发现有一个严重的 php 对象注入漏洞,攻击者未经身份验证就可以通过该漏洞调用 ninja forms 插件中的类库中的一些方法,其中包括一个的方法对用户提供的内容没有进行序列化操作,从而导致了对象注入,这可能允许攻击者执行任意代码或者删除任意文件。
该漏洞来自 ninja forms 的“合并标签”功能,该功能会自动填充来自帖子 id 和用户名的值。通过该漏洞可以调用 ninja forms 的类用于广泛的攻击,甚至包括接管站点,可能攻击者已经偷偷使用该漏洞大肆在搞破坏了。
ninja forms 于上周公开披露并在最新版本 3.6.11 中进行了修补,补丁也被反向移植到版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2 和 3.5.8.4 这些存在漏洞的版本。
因为 ninja forms 插件用户量非常庞大,有100多万活跃站点安装了并在使用,wordpress 核心团队上周发布了强制安全更新,任何运行 ninja forms 插件的站点都需要确保其站点已立即成功更新到 3.6.11+ 版本!
wordpress.org 的强制安全更新是在漏洞特别严重并影响大量用户的极少数情况下使用的一种缓解措施。6月14日更新了超过 68万个站点,这个 php 对象注入漏洞在通用漏洞评分系统中得分为 9.8。