Bleeping Computer 网站披露 ，出严WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞，重安攻击者可以通过这些漏洞实现权限提升并窃取用户数据。全漏

2023 年 6 月 22 日，出严Patchstack 的重安研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情 ，并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本
。全漏

2023 年 7 月 4 日 ，出严Saturday Drive 发布新版本 3.6.26 修复了漏洞问题，重安但根据 WordPress.org 统计数据显示只有大约一半的全漏 NinjaForms 用户下载最新版本
 。源码下载（大约 40 万个网站仍未更新 ，出严可能存在被攻击的重安风险）

Patchstack 发现的第一个漏洞是 2CVE-2023-37979，该漏洞是全漏一个基于 POST 的反射 XSS（跨站点脚本）漏洞，允许未经身份验证的出严用户通过诱骗特权用户访问特制的服务器租用网页，以此提升权限并窃取信息 。重安

第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386，全漏允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。

值得一提的是 ，以上漏洞都高度危险，高防服务器尤其是 CVE-2023-38393 更是如此 。任何支持会员资格和用户注册的网站 ，一旦使用易受攻击的 Ninja Forms 插件版本，都容易因该漏洞而发生大规模数据泄露事件。

包含 CVE-2023-38393 的处理功能

Saturday Drive 在 3.6.26 版本中应用的香港云服务器修补程序主要包括为损坏的访问控制问题添加权限检查
，以及防止触发已识别 XSS 的功能访问限制。

Patchstack 报告中包含了三个漏洞的详细技术信息 ，因此对于懂技术的威胁攻击者来说，利用这些漏洞应该是得心应手。模板下载为防止网络攻击者利用这些漏洞 ，Patchstack 公开披露漏洞的时间推迟了三周多 ，并一再督促Ninja Form用户尽快进行修补 。

最后，建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本，如果发现未更新的用户，管理员应该从用户的云计算网站禁用插件，直到其应用最新补丁。

文章来源：https://www.bleepingcomputer.com/news/security/wordpress-ninja-forms-plugin-flaw-lets-hackers-steal-submitted-data/#google_vignette