超过一百万个WordPress网站被强行更新以修补关键插件漏洞

　　超过一百万个WordPress网站被强行更新以修补关键插件漏洞

　　使用名为Ninja Forms的广泛使用的插件的WordPress网站已自动更新，以修复涉嫌在野外被积极利用的关键安全漏洞。

　　该问题与代码注入案例有关，严重性评定为 9.8 分（满分 10 分），并影响从 3.0 开始的多个版本。它已在 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2、3.5.8.4 和 3.6.11 中修复。

　　Ninja Forms是一个可定制的联系表单构建器，拥有超过100万次安装。

　　根据Wordfence的说法，该漏洞“使未经身份验证的攻击者可以在各种Ninja Forms类中调用有限数量的方法，包括未序列化用户提供的内容的方法，从而导致对象注入。

　　这可能允许攻击者在存在单独的[面向属性编程]链的站点上执行任意代码或删除任意文件，”Wordfence的Chloe Chamberland指出。成功利用该漏洞可能允许攻击者实现远程代码执行并完全接管易受攻击的WordPress站点。

　　建议Ninja Forms的用户确保其WordPress站点已更新为运行最新的修补版本，以防止任何可能的利用尝试。