超过30万个WordPress网站受到Forminator插件漏洞威胁！

根据bleepingcomputer网站于4月20日的报道，Forminator WordPress插件在超过50万个网站中存在一个易受攻击的漏洞，这个漏洞使得恶意用户能够随意向服务器上传文件。

WPMU DEV开发的Forminator插件是一个用于创建自定义联系表、反馈、测验、调查和支付表单的工具，具有拖放功能、丰富的第三方集成选项以及广泛的适用性。

近日，日本CERT在其漏洞公告平台（JVN）上发出了警告，指出Forminator存在一个高危漏洞（CVE-2024-28890，CVSS v3:9.8），远程攻击者可能利用该插件在网站上上传恶意软件。

JPCERT的安全通知列出了以下三种漏洞：

CVE-2024-28890–在文件上传过程中缺乏文件验证，允许远程攻击者在网站服务器上上传和执行恶意文件。此漏洞影响Forminator 1.29.0及之前版本。

CVE-2024-31077–SQL注入漏洞使得具备管理权限的远程攻击者可在站点数据库中执行任意SQL查询。受影响的版本为Forminator 1.29.3及以前版本。

CVE-2024-31857–跨站脚本（XSS）漏洞允许远程攻击者在用户浏览器中执行任意HTML和脚本代码，前提是用户被诱导点击特定链接。此漏洞影响Forminator 1.15.4及以上版本。

建议使用Forminator插件的网站管理员尽快将其更新至1.29.3版本，以修复上述三个漏洞。

根据WordPress.org的统计，自2024年4月8日发布安全更新以来，大约18万名网站管理员已下载了该插件。假设所有下载均为最新版本，那么仍有32万个网站面临被攻击的风险。

（编译：andy）