Forminator插件重大漏洞波及超30万WordPress网站！

根据bleepingcomputer于4月20日的报道，Forminator WordPress插件在超过50万的网站上普遍存在安全漏洞，使得恶意攻击者能够在服务器上不受限制地上传文件。

WPMU DEV开发的Forminator插件是一款为WordPress平台设计的多功能表单生成器，能够创建自定义的联系表单、反馈、测验、调查以及付款表单，其具备拖放式界面和丰富的第三方集成功能。

近期，日本CERT在其漏洞公告平台（JVN）上发布了针对该插件的安全警告，指出Forminator存在一个严重的安全缺陷（CVE-2024-28890，CVSS v3评级为9.8），这使得远程攻击者能够利用该插件在网站上上传恶意软件。

JPCERT的安全通告详细列出了以下三项漏洞：

CVE-2024-28890——在文件上传过程中缺乏必要的文件验证，导致远程攻击者可以在网站服务器上上传并执行恶意文件，受影响版本为Forminator 1.29.0及更早版本。

CVE-2024-31077——SQL注入漏洞使得具备管理权限的远程攻击者能够在网站数据库中执行任意的SQL查询，影响版本为Forminator 1.29.3及之前的版本。

CVE-2024-31857——跨站点脚本（XSS）漏洞允许远程攻击者在用户浏览器中执行任意HTML和脚本代码，前提是用户点击了特制链接，受影响版本为Forminator 1.15.4及以上版本。

因此，建议使用Forminator插件的网站管理员尽快将其升级至1.29.3版本，以修复上述三个缺陷。

根据WordPress.org的数据显示，自2024年4月8日发布安全更新以来，约有18万名网站管理员已下载了此插件。如果假设所有下载均为最新版本，那么仍有约32万个网站可能面临安全风险。

（编译：andy）