WordPress 插件 Forminator 中存在严重漏洞

Forminator 由 WPMU DEV 创建,是一款适用于 WordPress 站点的自定义联系、反馈、测试、调查和支付表单构建器,提供拖放功能、广泛的第三方集成和通用的多功能。

本周四,日本CERT发布提醒称,该漏洞可导致远程攻击者利用Forminator插件将恶意软件上传到网站,“远程攻击者可访问位于服务器上的文件以获取敏感信息,修改使用该插件的网站并引发DoS 条件。”

JPCERT在安全公告中提出了如下三个漏洞:

CVE-2024-28890:在文件上传过程中对文件的验证不充分,导致远程攻击者在站点服务器上上传和执行恶意文件,影响 Forminator 1.29.0及更早版本。

CVE-2024-31077:SQL注入漏洞,导致具有管理员权限的远程攻击者在网站数据库中执行任意SQL查询,影响 Forminator 1.29.3及更早版本。

CVE-2024-31857:XSS漏洞,可导致远程攻击者在用户被诱骗点击特殊构造的链接前提下,在用户浏览器中执行任意HTML和脚本代码,影响 Forminator 1.15.4及更早版本。

建议使用Forminator 插件的网站管理员尽快升级至已修复这些漏洞的1.29.3版本。

WordPress.org 网站数据显示,自2024年4月8日发布该安全更新后,约18万名站点管理员已下载该插件。建设所有下载都和最新版本有关,那么至少还有32万个站点仍然易受攻击。截止本文发布之时,并未有报告表明该漏洞已遭活跃利用。但鉴于该漏洞的严重性以及易利用的程序,如推迟修复则风险较高。为将WordPress 网站上的攻击面最小化,应尽量少用插件、尽快升级至最新版本以及禁用不再活跃利用或需要的插件。

本文摘自网络,不代表短经典网立场 https://www.duanjingdian.com/306.html

上一篇 2024 年 4 月 18 日 下午2:38
下一篇 2024 年 5 月 16 日 下午2:53

相关推荐

  • WordPress从数据库获取数据原理解析

    WordPress如何从数据库获取数据? 1、WordPress数据库结构 WordPress使用MySQL数据库,其中包含多个表,如wp_posts(文章)、wp_comment…

    WordPress 2024 年 4 月 27 日
    259
  • WordPress网站如何防止内容被被采集?

    你可以采取一些措施来减少内容被非法采集的可能性: 使用Robots.txt文件:通过在站点根目录下创建一个robots.txt文件,你可以告诉搜索引擎和爬虫哪些页面可以爬取,哪些不…

    WordPress 2024 年 4 月 22 日
    228
  • 怎样使用wordpress中的query posts函数?

    在WordPress开发中,query_posts() 是一个经常被用来从数据库检索自定义文章列表的函数,虽然这个函数很强大,但自WordPress 3.1版本起,官方建议使用 W…

    WordPress 2024 年 4 月 19 日
    244
  • WordPress限制标题长度的方法

    在WordPress中,你可以使用多种方法来限制文章标题的长度。这些方法包括使用代码片段或插件: 使用函数限制标题长度:你可以在主题的functions.php文件中添加以下代码来…

    WordPress 2024 年 4 月 22 日
    242
  • WordPress,Redis Object Cache缓存插件

    WordPress使用Redis Object Cache缓存插件加速网站的方法 在互联网行业中,网站的访问速度对于用户体验和搜索引擎排名都至关重要,为了提高网站的访问速度,我们可…

    2024 年 4 月 16 日
    267
  • 如何实现WordPress的页面不跳转?

    想要让用户在当前页面上完成某个操作而不需要离开,或者想在不刷新的情况下加载新的内容,以下是一些实现WordPress页面不跳转的方法: 1. 使用 AJAX 技术 AJAX(Asy…

    2024 年 4 月 20 日
    267
  • wordpress怎么做多级分类

    wordpress怎么做多级分类 1、登录到WordPress后台: 打开您的浏览器,输入您的网站URL,然后添加/wpadmin/到末尾,以访问WordPress后台。 输入您的…

    WordPress 2024 年 4 月 23 日
    243
  • WordPress如何进行速度优化?

    WordPress 是一个非常强大且广泛使用的 CMS(内容管理系统),但如果不正确优化,可能会导致页面加载时间变慢,以下是一些建议和技巧,可以帮助你提高 WordPress 的速…

    WordPress 2024 年 7 月 15 日
    234
  • WordPress内链插件,Yoast SEO、All in One SEO Pack

    有很多插件可以在WordPress中自动为关键词添加内链,Yoast SEO、All in One SEO Pack等。 如Yoast SEO为例: 步骤1:访问WordPress…

    WordPress 2024 年 4 月 28 日
    372
  • WordPress压缩图片的插件EWWW Image Optimizer

    有许多WordPress插件可以帮助您压缩图片,其中最受欢迎的是“EWWW Image Optimizer”和“Imagify”,这些插件可以自动压缩上传的图片,并优化已上传的图片…

    WordPress 2024 年 4 月 27 日
    250