上百万个 WordPress 网站被强制更新以修补关键插件漏洞

　　上百万个 WordPress 网站被强制更新以修补关键插件漏洞

　　使用广泛使用的名为 Ninja Forms 的插件的 WordPress 网站已自动更新，以修复怀疑已在野外被积极利用的关键安全漏洞。

　　该问题与代码注入案例有关，严重程度为 9.8（满分 10），并影响从 3.0 开始的多个版本。它已在 3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2、3.5.8.4 和 3.6.11 中修复。

　　Ninja Forms 是一个可定制的联系表单*敏*感*词*，安装量超过 100 万。

　　根据 Wordfence 的说法，该漏洞“使未经身份验证的攻击者可以在各种 Ninja Forms 类中调用有限数量的方法，包括对用户提供的内容进行非序列化的方法，从而导致对象注入。”

　　“这可能允许攻击者在存在单独的[面向属性的编程]链的站点上执行任意代码或删除任意文件，”Wordfence 的 Chloe Chamberland指出。

　　成功利用该漏洞可能允许攻击者实现远程代码执行并完全接管易受攻击的 WordPress 站点。

　　建议 Ninja Forms 的用户确保更新他们的 WordPress 网站以运行最新的修补版本，以防止任何可能的恶意利用尝试。