Bleeping Computer 网站披露，WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。

2023 年 6 月 22 日，Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情，并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。

2023 年 7 月 4 日，Saturday Drive 发布新版本 3.6.26 修复了漏洞问题，但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。（大约 40 万个网站仍未更新，可能存在被攻击的风险）

漏洞详情

Patchstack 发现的第一个漏洞是 2CVE-2023-37979，该漏洞是一个基于 POST 的反射 XSS（跨站点脚本）漏洞，允许未经身份验证的用户通过诱骗特权用户访问特制的网页，以此提升权限并窃取信息。

第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386，允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。

值得一提的是，以上漏洞都高度危险，尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站，一旦使用易受攻击的 Ninja Forms 插件版本，都容易因该漏洞而发生大规模数据泄露事件。

包含 CVE-2023-38393 的处理功能

Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查，以及防止触发已识别 XSS 的功能访问限制。

Patchstack 报告中包含了三个漏洞的详细技术信息，因此对于懂技术的威胁攻击者来说，利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞，Patchstack 公开披露漏洞的时间推迟了三周多，并一再督促Ninja Form用户尽快进行修补。

最后，建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本，如果发现未更新的用户，管理员应该从用户的网站禁用插件，直到其应用最新补丁。

文章来源：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette