WordPress插件Ninja Forms的严重漏洞可导致网站被黑客注入恶意JavaScript代码

WordPress能够流行的一大原因就是它能够应用各种插件实现各种意想不到的功能,扩展性是很厉害的。但是用插件来扩展功能有优点也有缺点,缺点就是因为开发者水平参差不齐,容易产生各种漏洞,会将自己的网站暴露在黑客的攻击之下。

前段时间,就有人发现了WordPress插件Ninja Forms有一个严重的安全漏洞,可能会导致黑客利用注入恶意JavaScript代码的方式来控制整个网站。这个漏洞出现在Ninja Forms的3.4.24.2之前的所有版本中,会受到跨站请求伪造(CSRF)漏洞的影响,这种漏洞可用于在用户的WordPress网站上发起存储的跨站点脚本(存储的XSS)攻击。

WordPress插件Ninja Forms的严重漏洞可导致网站被黑客注入恶意JavaScript代码

攻击者可以通过诱骗WordPress管理员单击经特殊设计的链接来利用Ninja Forms中的漏洞,该链接将恶意JavaScript代码作为导入的联系表单的一部分进行注入。

攻击者可以利用此漏洞将恶意Javascript替换HTML标签(例如<head>)。这将导致恶意代码在受影响站点的几乎每个页面上执行,因为几乎所有页面都以<head> HTML标签作为页面标题开始,如果被成功利用,将会产生重大影响。恶意代码可用于注入新的管理用户帐户,窃取会话Cookie或将用户重定向到恶意站点,从而使攻击者能够获得管理访问权限或感染浏览受感染站点的无辜访客。

Ninja Forms是WP平台上的一个知名的表单插件,能够允许用户通过拖拽的方式来编辑各种功能丰富的表单,目前已经有超过100万个WordPress网站安装了这个插件。

WordPress插件Ninja Forms的严重漏洞可导致网站被黑客注入恶意JavaScript代码

好消息是Ninja Forms已经在最新版本中修正了这个错误。泰州无忧网络建议如果你的网站安装了这个插件,最好是升级到最新版本。

其实虽然有这样的一个漏洞的存在,但是这也是WordPress能够受欢迎的原因所在,因为不管是WordPress本身,还是各种知名的插件厂商,大家都在一直很尽力的维护着这个系统的正常运转。而反观国内的一些CMS,绝大多数早就停止了更新,这样造成的后果就是出现了网站漏洞,也没有人来处理,只能碰运气,或者是将错就错,这样搭建出来的泰州网站就没有什么大的发展前途了。

Contact Us

159-6100-4617

在线咨询:点击这里给我发消息

邮件:thinkou@126.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code