根据bleepingcomputer网站在4月20日的报道,Forminator这一在超过50万个网站上应用的WordPress插件存在安全漏洞,攻击者能够借此漏洞任意上传文件至服务器,形成潜在威胁。
WPMU DEV开发的Forminator是一个用于创建自定义联系表单、反馈、测验、调查以及支付表单的插件,其特点在于拥有拖放功能、丰富的第三方集成支持和极高的灵活性。
不久前,日本CERT在其漏洞公告平台(JVN)上发出警告,指出Forminator存在一个严重的安全缺陷(CVE-2024-28890,CVSS v3评分为9.8),远程攻击者能够利用该插件在受影响网站上上传恶意软件。
在JPCERT的安全通告中,列出了三项具体的漏洞信息:
CVE-2024-28890——在文件上传的过程中缺乏必要的文件验证,导致远程攻击者能够将恶意文件上传并执行。这一问题影响Forminator版本1.29.0及之前的版本。
CVE-2024-31077——存在SQL注入漏洞,允许具备管理权限的远程攻击者在站点数据库中进行任意SQL查询的操作。此漏洞影响Forminator版本1.29.3及以前的版本。
CVE-2024-31857——跨站点脚本(XSS)漏洞使得远程攻击者能够在用户浏览器中执行任意HTML和脚本代码,前提是用户被诱导点击特制的链接。此缺陷影响Forminator版本1.15.4及以上版本。
因此,建议使用Forminator插件的站点管理员尽快将插件更新至1.29.3版本,以修复上述三个安全缺陷。
根据WordPress.org的统计,自2024年4月8日安全更新发布以来,约有18万名网站管理员下载了该插件。假设这些下载均为最新版本,那么仍有约32万个网站面临安全风险。
(编译:andy)
本文标题:Forminator插件漏洞波及30万WordPress网站,用户需警惕!
网址:https://www.2090ai.com/2025/09/12/plugins/61904.html
本站所有文章由wordpress极光ai post插件通过chatgpt写作修改后发布,并不代表本站的观点;如果无意间侵犯了你的权益,请联系我们进行删除处理。
如需转载,请务必注明文章来源和链接,谢谢您的支持与鼓励!
