导读 数十万个WordPress网站存在严重漏洞,威胁行为者可利用该漏洞通过插件中的错误将恶意软件上传到网站。据BleepingComputer报道,日本CERT最
数十万个WordPress网站存在严重漏洞,威胁行为者可利用该漏洞通过插件中的错误将恶意软件上传到网站。
据BleepingComputer报道,日本CERT最近在WPMUDEV开发的Forminator插件中发现了一个严重漏洞(9.8)。该漏洞目前被追踪为CVE-2024-28890,允许威胁行为者通过访问服务器上的文件来获取敏感信息。
研究人员还表示,该漏洞可用于更改网站内容、发起拒绝服务(DoS)攻击等。
Forminator是一款插件,允许WordPress操作员添加自定义联系人、反馈、测验、调查、民意调查和付款表格。一切都是拖放式的,因此用户友好,并且与许多其他插件配合良好。
WPMUDEV已解决该问题并发布了补丁。建议用户尽快应用该补丁并将Forminator插件升级至1.29.3版。截至发稿时,WordPress.org网站显示至少有500,000次活跃下载,其中56%运行最新版本。这意味着至少有230,000个网站可能仍存在漏洞。
到目前为止,尚无证据表明CVE-2024-28890被野外利用,但考虑到其破坏潜力以及被滥用的简单性,滥用的可能性只是时间问题。
虽然WordPress本身通常被认为是一个安全的平台,但其各种插件和附加组件为黑客提供了独特的机会。一般来说,建议WordPress管理员始终保持平台、插件、主题和附加组件的更新,并停用他们不主动使用的所有附加组件。