据bleepingcomputer网站在4月20日消息,在超过500,000个网站中使用的Forminator WordPress插件容易受到漏洞的攻击,该漏洞允许恶意行为者不受限制地将文件上传到服务器。
WPMU DEV的Forminator是WordPress网站的自定义联系人、反馈、测验、调查/民意调查和支付表单生成器,提供拖放功能、广泛的第三方集成和通用性。
就在近日,日本CERT在其漏洞说明门户网站(JVN)上发布了一条警报,警告Forminator中存在严重性缺陷(CVE-2024-28890,CVSS v3:9.8),远程攻击者可以使用该插件在网站上上传恶意软件。
JPCERT的安全公告列出了以下三个漏洞:
CVE-2024-28890–文件上传过程中文件验证不足,使远程攻击者能够在网站服务器上上传和执行恶意文件。影响Forminator 1.29.0及更早版本。
CVE-2024-31077–SQL注入缺陷使具有管理权限的远程攻击者能够在站点数据库中执行任意SQL查询。影响Forminator 1.29.3及更早版本。
CVE-2024-31857–跨站点脚本(XSS)缺陷允许远程攻击者在被诱骗遵循特制链接的情况下,在用户浏览器中执行任意HTML和脚本代码。影响Forminator 1.15.4及以上版本。
建议使用Forminator插件的网站管理员尽快将插件升级到1.29.3版本,以解决这三个缺陷。
WordPress.org的统计数据显示,自2024年4月8日发布安全更新以来,大约有18万名网站管理员下载了该插件。假设所有这些下载都涉及最新版本,那么仍有32万个网站容易受到攻击。
(编译:andy)