WordPress网站构建器具有超过100万个安装的一个非常流行的形式的构建器插件非常容易受到高度缺陷的影响，该缺陷可能使威胁参与者完整的网站接管。

　　Ninja Forms最近发布了一个新的补丁，当反向设计时，其中包括一个代码注入漏洞，该漏洞影响了从3.0上升的所有版本。

　　根据WordFence威胁智能领导Chloe Chamberland的说法，通过避难所进行远程执行代码，威胁参与者可以完全接管脆弱的地点。

　　你可能喜欢

　　另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险

　　这个顶级WordPress插件可能会隐藏令人担忧的安全漏洞，因此请在警卫上

　　成千上万的WordPress网站针对恶意插件后门攻击

　　分享您对网络安全的想法，并免费获得《黑客手册》 2022年的副本。帮助我们找到企业如何为后载后世界做准备，以及这些活动对其网络安全计划的影响。在此调查结束时输入您的电子邮件，以获取Bookazine，价值$ 10.99/£10.99。

　　滥用的证据

　　Chamberland说：“我们发现了一个代码注入漏洞，这使得未经认可的攻击者可以在各种忍者表单类中调用有限数量的方法，其中包括一种方法，即未经许可用户提供的用户提供的内容，从而导致对象注入。”

　　“这可以允许攻击者在存在单独的流行链的站点上执行任意代码或删除任意文件。”

　　为了使事情变得更糟，发现缺陷在野外被滥用，沃文斯进一步发现。阅读更多

　　>现在修补这个流行的WordPress插件，以避免劫持网站

　　>讨厌的WordPress插件漏洞使一百万个网站处于危险之中

　　> WordPress插件利用使超过一百万个站点处于危险之中

　　BleepingComputer进一步发现，将贴片强制到大多数受影响的地点。查看该补丁的下载统计信息，已经修补了730,000多个网站。尽管这个数字令人鼓舞，但它仍然留下数十万个脆弱的地点。

　　你是专业人士吗？订阅我们的新闻通讯

　　注册techradar Pro新闻通讯，以获取您的业务成功所需的所有首选，意见，功能和指导！取得成功！请与我联系我们的其他未来品牌的新闻，并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息，您同意您同意的条款和隐私政策，并年龄在16岁或超过16岁之间。

　　那些使用忍者表格和避风港对其进行更新的人应尽快使用该修复程序。可以从仪表板完成，并且管理员应确保其插件已更新为3.6.11版本。

　　这不是第一次以忍者形式发现高度缺陷。大约两年前，发现所有版本的插件最高3.4.24.2都受到跨站点请求伪造（CSRF）漏洞的影响。这本来可以用于在用户的WordPress站点上发射存储的跨站点脚本（存储的XSS）攻击，从本质上将其接管。

　　通过：BleepingComputer