安全研究人员报告说，流行的NinjaFormsWordPress插件中的两个漏洞可能使威胁行为者能够导出敏感信息并从易受攻击的站点发送网络钓鱼电子邮件。开发安全解决方案以保护WordPress安装的Wordfence的网络安全研究人员在对漏洞进行细分时指出，NinjaForms拥有超过100万个网站的安装基础。

研究人员解释说，存在漏洞是因为流行的表单构建插件依赖于检查用户权限的机制的不安全实现。

不安全的实现意味着不是确保登录用户具有触发相关操作的正确权限，该功能只检查用户是否实际上已登录，而不检查其他任何内容。

其中一个问题是批量提交导出漏洞，它可以使任何登录用户(无论其权限级别如何)都可以导出曾经提交到网站表单之一的所有内容。

另一个问题使任何用户都可以从易受攻击的WordPress网站向任何电子邮件地址发送电子邮件。

Wordfence建议说：“这个漏洞很容易被用来创建网络钓鱼活动，通过滥用对用于发送电子邮件的域的信任来欺骗毫无戒心的用户执行不需要的操作。”网站的管理员以及促进网站收购活动。

Wordfence于2021年8月3日负责任地向NinjaForms披露了该漏洞，NinjaForms立即承认并在本月早些时候以NinjaFormsv3.5.8的形式发布了补丁。

免责声明： 本文由用户上传，如有侵权请联系删除！

标签：