用于超过 500,000 个网站的 WordPress 插件 Forminator 易受攻击者利用的缺陷影响,该缺陷允许其将不受限制的文件上传到服务器。
来自 WPMU DEV 的 Forminator 是一款用于创建 WordPress 网站的自定义联系、反馈、测验、调查/民意调查和付款表单的构建工具,它提供拖放功能、广泛的第三方集成和通用多功能性。
星期四,日本国家信息安全中心 (CERT) 在其漏洞说明门户 (JVN) 上发布了一则警报,警告存在一个关键严重性的缺陷 (CVE-2024-28890,CVSS v3:9.8) Forminator 中出现的缺陷可能允许远程攻击者上传恶意软件在使用该插件的网站上。
远程攻击者可以通过访问服务器上的文件获取敏感信息,更改使用插件的网站并导致拒绝服务 (DoS) 条件。
JPCERT 的安全公告列出了以下三个漏洞:
CVE-2024-28890 – 文件上传期间文件验证不足,允许远程攻击者在网站的服务器上上传和执行恶意文件。影响 Forminator 1.29.0 及更早版本。
CVE-2024-31077 – SQL 注入缺陷允许具有管理员权限的远程攻击者在网站的数据库中执行任意 SQL 查询。影响 Forminator 1.29.3 及更早版本。
CVE-2024-31857 – 跨站脚本 (XSS) 缺陷允许远程攻击者在用户被诱骗关注精心制作的链接时在用户的浏览器中执行任意的 HTML 和脚本代码。影响 Forminator 1.15.4 及更早版本。
建议使用 Forminator 插件的网站管理员尽快将插件升级到版本 1.29.3,该版本解决了所有三个缺陷。
WordPress.org 统计数据显示,自 2024 年 4 月 8 日发布安全更新以来,大约有 180,000 名网站管理员已下载了该插件。假设所有这些下载都涉及最新版本,那么仍有 320,000 个网站容易受到攻击。
在撰写本文时,尚未有针对 CVE-2024-28890 的公开利用报告,但由于该缺陷的严重性和满足其要求的容易性,因此管理员推迟更新的高风险。
要最大程度地减少 WordPress 网站上的攻击面,请尽可能少地使用插件,尽快更新到最新版本,并停用未积极使用/不需要的插件。