漏洞背景
近日,嘉诚安全监测到WordPress Forminator中存在一个插件文件上传漏洞(CVE-2024-28890)、一个SQL注入漏洞(CVE-2024-31077)和一个跨站脚本漏洞(CVE-2024-31857)。
Forminator是一款易于使用的WordPress表单构建器插件,该插件的活跃安装量超过500,000。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CVE-2024-28890
WordPress Forminator插件文件上传漏洞,经研判,该漏洞为高危漏洞。由于在文件上传过程中文件验证不充分,可能导致远程攻击者在使用该插件的网站上上传恶意文件,从而可能获取敏感信息、破坏站点并导致拒绝服务等。
2.CVE-2024-31077
WordPress Forminator SQL注入漏洞,经研判,该漏洞为高危漏洞。具有管理权限的远程攻击者可利用该漏洞在站点数据库中执行任意 SQL 查询,从而获取或更改数据库中的敏感信息并可能导致拒绝服务。
3.CVE-2024-31857
WordPress Forminator跨站脚本漏洞,经研判,该漏洞为高危漏洞。可通过诱导受害者访问或触发特制链接,导致在用户浏览器中执行任意HTML和脚本代码。
危害影响
影响版本
CVE-2024-28890
Forminator < 1.29.0
CVE-2024-31077
Forminator < 1.29.3
CVE-2024-31857
Forminator < 1.15.4
修复建议
目前这些漏洞已经修复,受影响用户可升级到以下版本,或更新到Forminator 1.29.3以修复这些漏洞。
CVE-2024-28890
Forminator >= 1.29.0
CVE-2024-31077
Forminator >= 1.29.3
CVE-2024-31857
Forminator >= 1.15.4
下载链接:
https://wordpress.org/plugins/forminator/
原文始发于微信公众号(嘉诚安全):【漏洞通告】WordPress Forminator多个高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论