Ninja Forms是一個WordPress表單生成器插件,允許WordPress用戶基于拖放編輯器,在短短幾分鐘內(nèi)創(chuàng)建復(fù)雜的表單。
目前該插件有超過100萬的安裝量,Ninja Forms 3.4.24.2 版本以下存在一個嚴重性較高的安全漏洞——?跨站點請求偽造(CSRF),攻擊者可以使用該插件的未修補版本來注入惡意代碼并接管網(wǎng)站。
攻擊者可以通過誘使WordPress管理員單擊特制的鏈接來利用此Ninja Forms錯誤,該鏈接將惡意的JavaScript代碼作為新導(dǎo)入的聯(lián)系表的一部分進行注入。
帶有惡意代碼的表單
攻擊者可以濫用該插件的功能,用惡意網(wǎng)站替換目標網(wǎng)站上的所有現(xiàn)有表格。Wordfence QA工程師 Ram Gall?已在這篇文章中進行了詳細的介紹??。
為此,攻擊者可以濫用插件的“舊版”模式所添加的ninja_forms_ajax_import_form?AJAX函數(shù),此功能可恢復(fù)為較早版本中可用的樣式和功能。
此功能不檢查請求是否源自合法用戶,因此,在管理員點擊了惡意鏈接并導(dǎo)入包含惡意JavaScript代碼的表單后,可以使用管理員的會話來欺騙請求。
在操縱了表單的的formID?$_POST參數(shù)之后,受攻擊站點上的所有現(xiàn)有表單也可以替換為惡意表單。
“取決于JavaScript在導(dǎo)入表單中的放置位置,只要受害者訪問包含表單的頁面,管理員訪問插件的“導(dǎo)入/導(dǎo)出”頁面或管理員嘗試編輯以下任何內(nèi)容,就可以在受害者的瀏覽器中執(zhí)行JavaScript表單的字段。”Ram Gall 解釋道。
“與跨站腳本(XSS)攻擊一樣,在管理員的瀏覽器中執(zhí)行的惡意腳本可用于添加新的管理帳戶,從而完成網(wǎng)站的接管,而在訪客的瀏覽器中執(zhí)行的惡意腳本可用于將該訪客重定向到惡意網(wǎng)站。”
請盡快更新到3.4.24.2
該漏洞已于4月27日發(fā)現(xiàn)并負報告給Ninja Forms的開發(fā)人員,然后開發(fā)者已經(jīng)發(fā)布了3.4.24.2版本來修復(fù)該漏洞。
Wordfence對該安全問題進行了等級評定,其CVSS評分為8.8,說明這是嚴重性非常高的漏洞,所以使用舊版本Ninja Forms的用戶,應(yīng)該立即更新到3.4.24.2。
