WordPress Ninja Forms曝出严重安全漏洞

28日消息，Patchstack 发现WordPress表单构建插件Ninja Forms存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。第一个漏洞是CVE-2023-37979，允许未经身份验证的用户通过诱骗特权用户访问特制的网页。后两个漏洞为CVE-2023-38393和CVE-2023-38386，允许订阅服务器和贡献者导出用户在受影响的WordPress网站上提交的所有数据。以上漏洞都属于高危，任何支持会员资格和用户注册的网站，一旦使用易受攻击的Ninja Forms插件版本，都易因该漏洞而发生大规模数据泄露事件。