WordPress极简博客 WordPress极简博客
  • 新鲜事
  • 战疫情
  • UI素材
    • UI素材
    • 电商/节日
    • PPT
      • 节日庆典
      • 工作汇报
      • 商业计划书
    • word
      • 简历竞聘
      • 合同/公文
  • 创客头条
    • 音乐分享
    • 初创文章
    • 极客头条
    • 数码解说
    • 生活趣事
    • 生活日记
  • 全球科技
    • 新浪博客
    • A5资讯
    • 环球网新闻
  • 编程教学
    • Linux安全栏目
      • Linux运维安全汇总
      • DDOS攻击防护
      • XSS攻击防护
      • SQL安全防护
    • Python技术栏目
      • Python基础入门
      • Python基础结构
    • WordPress技术栏目
      • WP主题
      • WordPress技术教程
      • RIPRO主题美化
    • WordPress漏洞发布
    • 技术教程汇总
  • 专题
  • 基友
  • 隐私
  • 云优化
  • 注册
    登录
立即登录
  • 首页
  • 云优化
  • 新疫情
  • 新鲜事
    • 热文
    • 极客
    • 生活
  • 技术篇
    • WP主题
    • 技术教程
    • Python入门
    • Python基础
  • 专题篇
  • 友链君

Ninja Forms 低于3.4.24.2可注入恶意代码并接管网站

夏柔5月 1, 2020

Ninja Forms是一个WordPress表单生成器插件,允许WordPress用户基于拖放编辑器,在短短几分钟内创建复杂的表单。

Ninja Forms 低于3.4.24.2可注入恶意代码并接管网站-WordPress极简博客
目前该插件有超过100万的安装量,Ninja Forms 3.4.24.2 版本以下存在一个严重性较高的安全漏洞—— 跨站点请求伪造(CSRF),攻击者可以使用该插件的未修补版本来注入恶意代码并接管网站。

攻击者可以通过诱使WordPress管理员单击特制的链接来利用此Ninja Forms错误,该链接将恶意的JavaScript代码作为新导入的联系表的一部分进行注入。

带有恶意代码的表单

攻击者可以滥用该插件的功能,用恶意网站替换目标网站上的所有现有表格。Wordfence QA工程师 Ram Gall 已在这篇文章中进行了详细的介绍  。

为此,攻击者可以滥用插件的“旧版”模式所添加的ninja_forms_ajax_import_form AJAX函数,此功能可恢复为较早版本中可用的样式和功能。

Ninja Forms 低于3.4.24.2可注入恶意代码并接管网站-WordPress极简博客
此功能不检查请求是否源自合法用户,因此,在管理员点击了恶意链接并导入包含恶意JavaScript代码的表单后,可以使用管理员的会话来欺骗请求。

在操纵了表单的的formID $_POST参数之后,受攻击站点上的所有现有表单也可以替换为恶意表单。

“取决于JavaScript在导入表单中的放置位置,只要受害者访问包含表单的页面,管理员访问插件的“导入/导出”页面或管理员尝试编辑以下任何内容,就可以在受害者的浏览器中执行JavaScript表单的字段。”Ram Gall 解释道。

“与跨站脚本(XSS)攻击一样,在管理员的浏览器中执行的恶意脚本可用于添加新的管理帐户,从而完成网站的接管,而在访客的浏览器中执行的恶意脚本可用于将该访客重定向到恶意网站。”

请尽快更新到3.4.24.2

该漏洞已于4月27日发现并负报告给Ninja Forms的开发人员,然后开发者已经发布了3.4.24.2版本来修复该漏洞。

Wordfence对该安全问题进行了等级评定,其CVSS评分为8.8,说明这是严重性非常高的漏洞,所以使用旧版本Ninja Forms的用户,应该立即更新到3.4.24.2。

#ninja-forms
0
分享
夏柔 站长
文章 709评论 23
赞赏
夏柔
相关文章
  • 自定义onion域名
  • 宝塔linux面板一键工具箱
  • 7种提高代码阅读能力的方法
  • 保护你的WordPress,修改服务器默认用户名root
  • Python多线程扫描端口
  • ThnBo-一款针对WordPress开发的缩略图美化插件,为广大站长提供缩略图的美化便利
  • WordPress去除index.php的方法
  • WordPress美化-文字渐变特效
  • WordPress美化-抖动图片
  • 使用HBuilderX封装H5
12 6月, 2020
干货!3 个重要因素,带你看透 AI 技术架构方案的可行性
夏柔
站长
夏山如碧 - 怀柔天下
709文章
23评论
58144K获赞
版权声明

文章采用创作共用版权 CC BY-NC-ND/2.5/CN 许可协议,与本站观点无关。

如果您认为本文侵犯了您的版权信息,请与我们联系修正或删除。
投诉邮箱wpsite@aliyun.com

栏目推荐
Python基础入门30
WordPress技术教程265
前沿技术情报所7
城市创新——新消费8
最近有哪些不可错过的热文5
程序员的养生之道0
疫情实况
黑龙江新增28例确诊 8例无症状
1月 28, 2021
31省区市新增确诊54例 本土41例
1月 28, 2021
黑龙江新增29例确诊 28例无症状
1月 27, 2021
更多
每日快讯
海南政协原副主席王勇被决定逮捕
1月 28, 2021
男子回家探亲离别时爸妈送活猪
1月 28, 2021
霍建华为林心如庆生 两人甜蜜贴脸
1月 28, 2021
黑龙江新增28例确诊 8例无症状
1月 28, 2021
31省区市新增确诊54例 本土41例
1月 28, 2021
美国参议院确认布林肯为国务卿
1月 27, 2021
黑龙江新增29例确诊 28例无症状
1月 27, 2021
吉林通化等地一线医务人员补助提高
1月 27, 2021
更多
  • 新鲜事
  • 疫情实况
  • UI素材
  • 技术教程
  • 音乐分享
  • 专题
  • 友情
  • 隐私
  • 云优化
Copyright © 2019-2021 WordPress极简博客. Designed by 骚老板. 辽公网安备21010502000474号