日本CERT警告超过500,000个网站中使用的Forminator WordPress插件存在严重程度缺陷,允许远程攻击者使用插件在网站上上传恶意软件。
Forminator 是 WPMU DEV 提供的一款 WordPress 插件,被超过 500,000 个网站使用,用于创建自定义联系表单、反馈表单、测验、调查/民意调查和支付表单,提供拖放功能、广泛的第三方集成和通用性。
然而,日本CERT最近在其漏洞说明门户网站(JVN)上发布了一个警报,指出 Forminator 中存在严重的漏洞(CVE-2024-28890,CVSS v3 评分为 9.8),可能允许远程攻击者上传恶意文件到网站服务器。这一漏洞影响了 Forminator 1.29.0 及更早版本。另外,还有 CVE-2024-31077(影响版本 ≤ 1.29.3)和 CVE-2024-31857(影响版本 ≥ 1.15.4)等漏洞存在,分别是 SQL 注入漏洞和跨站点脚本(XSS)漏洞。
JPCERT 的安全公告强调了尽快升级到 Forminator 1.29.3 版本的重要性,以修复所有三个漏洞。然而,根据 WordPress.org 的统计数据,尽管已有大约 18 万个网站管理员下载了安全更新,但仍有 32 万个网站可能受到攻击,如果管理员不及时更新插件,可能会面临严重的风险。
尽管截至目前尚未有有关 CVE-2024-28890 的积极开发的公开报告,但考虑到这一漏洞的严重性和易于满足利用条件,管理员应尽快更新插件以最大限度地减少 WordPress 网站的攻击风险。最好的做法是尽可能减少使用插件,并停用不活跃或不必要的插件,以降低攻击表面。
