日本的CERT警告称,由WPMU DEV开发的WordPress插件Forminator受到多个漏洞的影响,其中包括一个允许对服务器进行无限制文件上传的漏洞。Forminator是一个流行的WordPress插件,允许用户轻松创建各种表单,而无需任何编码知识。该插件已安装在超过500,000个网站上。
其中一个漏洞是一个关键问题,被跟踪为CVE-2024-28890(CVSS v3: 9.8),远程攻击者可以利用该漏洞在使用该插件的WordPress网站上上传恶意代码。
JPCERT发布的安全公告中表示:“远程攻击者可以通过访问服务器上的文件获取敏感信息,修改使用该插件的网站并引发拒绝服务(DoS)条件(CVE-2024-28890)”。该公告还警告以下这些漏洞:
-
CVE-2024-31077(CVSS分数7.2)- SQL注入漏洞- 管理员用户可能会获取和修改数据库中的任何信息并引发拒绝服务(DoS)条件
-
CVE-2024-31857(CVSS分数6.1)- 跨站脚本漏洞- 远程攻击者可能会获取用户信息等,并修改用户的Web浏览器中的页面内容
Forminator版本1.29.3解决了所有漏洞,管理员被建议尽快更新其安装。在撰写本文时,研究人员报告称,有攻击已经利用了CVE-2024-28890的漏洞。根据WordPress.org提供的统计数据,该插件有超过500,000个活跃安装,但只有55.9%(超过279个)正在运行版本1.29。这意味着超过200,000个网站容易受到网络攻击。
原文始发于微信公众号(黑猫安全):Forminator插件中的一个漏洞影响了数十万个WordPress网站
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论