超过一百万WordPress站点被强制更新以修补一个关键插件漏洞

WordPress网站使用了一个名为Ninja Forms的广泛使用的插件，该插件已自动更新，以修复一个被怀疑在野外被积极利用的严重安全漏洞。

该问题与代码注入相关，严重性为9.8分（共10分），影响从3.0开始的多个版本。已在3.0.34.2、3.1.10、3.2.28、3.3.21.4、3.4.34.2、3.5.8.4和3.6.11中固定。

Ninja Forms是一个可定制的联系人表单生成器，安装量超过100万。

据Wordfence称，该漏洞“使未经验证的攻击者能够调用各种Ninja表单类中数量有限的方法，包括未序列化用户提供内容的方法，从而导致对象注入。”

Wordfence的Chloe Chamberland指出：“这可能允许攻击者在存在单独[面向属性的编程]链的站点上执行任意代码或删除任意文件。”。

成功利用该漏洞可使攻击者实现远程代码执行并完全接管易受攻击的WordPress站点。

建议Ninja表单的用户确保其WordPress站点更新为运行最新补丁版本，以防止任何可能的野生攻击企图。