Bleeping Computer 網站披露，WordPress 表單構建插件 Ninja Forms 存在三個安全漏洞，攻擊者可以通過這些漏洞實現權限提升并竊取用戶數據。

2023 年 6 月 22 日，Patchstack 的研究人員向插件開發者 Saturday Drive 報告了這三個漏洞詳情，并警告稱漏洞會影響 NinjaForms 3.6.25 及以上版本。

2023 年 7 月 4 日，Saturday Drive 發布新版本 3.6.26 修復了漏洞問題，但根據 WordPress.org 統計數據顯示只有大約一半的 NinjaForms 用戶下載最新版本。（大約 40 萬個網站仍未更新，可能存在被攻擊的風險）

漏洞詳情

Patchstack 發現的第一個漏洞是 2CVE-2023-37979，該漏洞是一個基于 POST 的反射 XSS（跨站點腳本）漏洞，允許未經身份驗證的用戶通過誘騙特權用戶訪問特制的網頁，以此提升權限并竊取信息。

第二個漏洞和第三個漏洞分別被跟蹤為 CVE-2023-38393 和 CVE-2023-3 8386，允許訂閱服務器和貢獻者導出用戶在受影響的 WordPress 網站上提交的所有數據。

值得一提的是，以上漏洞都高度危險，尤其是 CVE-2023-38393 更是如此。任何支持會員資格和用戶注冊的網站，一旦使用易受攻擊的 Ninja Forms 插件版本，都容易因該漏洞而發生大規模數據泄露事件。

包含 CVE-2023-38393 的處理功能

Saturday Drive 在 3.6.26 版本中應用的修補程序主要包括為損壞的訪問控制問題添加權限檢查，以及防止觸發已識別 XSS 的功能訪問限制。

Patchstack 報告中包含了三個漏洞的詳細技術信息，因此對于懂技術的威脅攻擊者來說，利用這些漏洞應該是得心應手。為防止網絡攻擊者利用這些漏洞，Patchstack 公開披露漏洞的時間推遲了三周多，并一再督促Ninja Form用戶盡快進行修補。

最后，建議所有使用 Ninja Forms 插件的網站管理員盡快更新到 3.6.26 或以上版本，如果發現未更新的用戶，管理員應該從用戶的網站禁用插件，直到其應用最新補丁。

文章來源：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette