WordPress是一套普遍流行的開源(Open Source)架設網站軟體，而Ninja Forms是一套方便製作表格的WordPress外掛模組。但是，Ninja Forms 包含三個漏洞，讓攻擊者可提升權限並竊取用戶輸入的資訊。漏洞資訊說明如下：

 

CVE-2023-37979：這是一個基於 POST 的反射型 XSS跨站指令漏洞，未經身份驗證的用戶得以透過欺騙特權用戶存取特殊網頁來提升權限並竊取資訊。

CVE-2023-38393、CVE-2023-38386：利用外掛模組提交表單時，導致存取權限控制問題，即使是一般的資訊訂閱者和貢獻者，就能藉此漏洞匯出所有使用者提交的資料。由於是近期剛發現的漏洞，目前還缺乏CVSS的漏洞風險評估資訊。

 

建議措施：請更新Ninja Forms至3.6.26版。然而，WordPress.org 的統計數據顯示，只有大約一半的 NinjaForms 用戶下載了最新版本，導致大約 400,000 個網站容易受到攻擊。

 

 

如果您希望獲得完整資訊，請您填寫基本資料：https://www.surveycake.com/s/AwNMO