Ninja Forms 是一个安装量超过一百万的表单生成器插件,最近爆出代码注入漏洞,该漏洞使未经身份验证的攻击者可以调用各种 Ninja Forms 类中的有限数量的方法,包括对用户提供的内容进行非序列化的方法,从而导致对象注入。这可能允许攻击者在存在单独 POP 链的站点上执行任意代码或删除任意文件。
它于上周公开披露并在最新版本 3.6.11 中进行了修补。补丁也被反向移植到版本 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2 和 3.5.8.4。
由于Ninja Forms 插件的活跃安装基础的规模,以及该漏洞的严重性,WordPress 核心团队上周发布了强制安全更新。任何运行 Ninja Forms 插件的站点都需要确保其站点已立即成功更新到 3.6.11+ 版本!