上周晚些时候,Ninja Forms 用户收到了来自 WordPress.org 的针对严重 PHP 对象注入漏洞的强制性安全更新。无需任何身份验证即可远程利用此特定漏洞。它于上周公开披露,并在最新版本 3.6.11 中进行了修补。该补丁还被反向移植到版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2 和 3.5.8.4。

Wordfence 发现 Form Builder 插件中有一个向后移植的安全更新,该插件有超过一百万的活跃安装。威胁分析师 Chloe Chamberland 在一份公告中建议企业用户:

我们发现了一个代码注入漏洞,允许未经身份验证的攻击者可以调用各种 Ninja Forms 类中的方法数量有限,包括反序列化用户提供的内容的方法,从而导致对象注入。这可能允许攻击者在存在独立 POP 链的站点上执行任意代码或删除任意文件。

例如,该漏洞会影响 Ninja Forms 的“合并标签”功能,该功能会自动填充帖子 ID 和用户名的值。 Wordfence 威胁分析师 Ramuel Gall 对漏洞的补丁进行了反向工程,以创建有效的概念证明。他发现可以调用各种 Ninja Forms 类,这些类可用于范围广泛的攻击,包括完全的站点接管。 Chamberland 报告说,有证据表明该漏洞正在被积极利用。

WordPress.org 的强制性安全更新是在漏洞特别严重并影响大量用户的极少数情况下使用的缓解措施。 6 月 14 日更新了超过 680,000 个站点。此 PHP 对象注入漏洞在通用漏洞评分系统中的得分为 9.8,但尚未获得 CVE ID。

查看之前的CVE IDs Ninja Forms,这是插件历史上最严重的漏洞。 Ninja Forms 的变更日志没有传达威胁的严重性,将其归类为“安全增强”:

3.6.11 (2022 年 6 月 14 日)

安全性增强
* 对合并标签值应用更严格的清理

Ninja Forms 未在其博客或社交媒体上发布信息关于安全更新发布在帐户上。随着公司更多地了解攻击者如何利用该漏洞,Wordfence 计划更新其公告文本。 Ninja Forms 用户应该检查他们的网站以确保自动安全更新已经通过。此更新是在 Ninja Forms 于 6 月 7 日修补了一个不太严重的经过身份验证的商店跨站点脚本 (XSS) 漏洞一周后发布的。

资源