Forminator 由 WPMU DEV 创建，是一款适用于 WordPress 站点的自定义联系、反馈、测试、调查和支付表单构建器，提供拖放功能、广泛的第三方集成和通用的多功能。

本周四，日本CERT发布提醒称，该漏洞可导致远程攻击者利用Forminator插件将恶意软件上传到网站，“远程攻击者可访问位于服务器上的文件以获取敏感信息，修改使用该插件的网站并引发DoS 条件。”

JPCERT在安全公告中提出了如下三个漏洞：

建议使用Forminator 插件的网站管理员尽快升级至已修复这些漏洞的1.29.3版本。

WordPress.org 网站数据显示，自2024年4月8日发布该安全更新后，约18万名站点管理员已下载该插件。建设所有下载都和最新版本有关，那么至少还有32万个站点仍然易受攻击。截止本文发布之时，并未有报告表明该漏洞已遭活跃利用。但鉴于该漏洞的严重性以及易利用的程序，如推迟修复则风险较高。为将WordPress 网站上的攻击面最小化，应尽量少用插件、尽快升级至最新版本以及禁用不再活跃利用或需要的插件。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~