聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Forminator 由 WPMU DEV 创建,是一款适用于 WordPress 站点的自定义联系、反馈、测试、调查和支付表单构建器,提供拖放功能、广泛的第三方集成和通用的多功能。
本周四,日本CERT发布提醒称,该漏洞可导致远程攻击者利用Forminator插件将恶意软件上传到网站,“远程攻击者可访问位于服务器上的文件以获取敏感信息,修改使用该插件的网站并引发DoS 条件。”
JPCERT在安全公告中提出了如下三个漏洞:
CVE-2024-28890:在文件上传过程中对文件的验证不充分,导致远程攻击者在站点服务器上上传和执行恶意文件,影响 Forminator 1.29.0及更早版本。
CVE-2024-31077:SQL注入漏洞,导致具有管理员权限的远程攻击者在网站数据库中执行任意SQL查询,影响 Forminator 1.29.3及更早版本。
CVE-2024-31857:XSS漏洞,可导致远程攻击者在用户被诱骗点击特殊构造的链接前提下,在用户浏览器中执行任意HTML和脚本代码,影响 Forminator 1.15.4及更早版本。
建议使用Forminator 插件的网站管理员尽快升级至已修复这些漏洞的1.29.3版本。
WordPress.org 网站数据显示,自2024年4月8日发布该安全更新后,约18万名站点管理员已下载该插件。建设所有下载都和最新版本有关,那么至少还有32万个站点仍然易受攻击。截止本文发布之时,并未有报告表明该漏洞已遭活跃利用。但鉴于该漏洞的严重性以及易利用的程序,如推迟修复则风险较高。为将WordPress 网站上的攻击面最小化,应尽量少用插件、尽快升级至最新版本以及禁用不再活跃利用或需要的插件。
热门Wordpress 插件 LayerSlider 中存在严重漏洞
热门 WordPress 插件 Ultimate Member 中存在严重漏洞
WordPress 插件 LiteSpeed 漏洞影响500万个站点
https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~