WordPress 热门插件 Fluent Forms Contact Form Builder 安装量超过 300,000 次,被发现包含 SQL 注入漏洞,可能允许黑客访问数据库。
该漏洞可能已于 6 月修复,但于 2023 年 11 月 3 日才发布。
快速介绍
- Fluent Forms 是一个 WordPress 插件,用于创建和管理各种类型的表单,如联系表单、调查表单、反馈表单等。
- SQL注入漏洞 是一种常见的网络攻击手段,它允许攻击者在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,从而实现对数据库的任意操作。
- Fluent Forms 插件 SQL 注入漏洞 是指该插件在处理用户输入的数据时,没有对这些数据进行适当的过滤或转义,导致攻击者可以利用该插件的某些功能,如导出表单数据、导入表单模板等,来构造恶意的 SQL 语句,从而获取或修改数据库中的敏感信息。
- 漏洞影响范围 是指该插件的所有版本,包括免费版和专业版,都存在该漏洞,且该插件在 WordPress 官方网站上有超过 8 万次的下载量,因此可能影响了大量的 WordPress 网站。
- 漏洞修复方案 是指该插件的开发者已经在 2023 年 2 月 23 日发布了一个新版本(4.6.7),用于修复该漏洞,建议所有使用该插件的网站尽快更新到最新版本,以避免受到攻击。
美国漏洞数据库描述了该漏洞:
“联系表单中的 SQL 命令(‘SQL 注入’)中使用的特殊元素的不当中和漏洞 – WPManageNinja LLC 联系表单插件 – Fluent Forms 出品的 WordPress 最快联系表单生成器插件 fluentform 允许 SQL 注入。
此问题影响联系表单插件 – Fluent Forms 提供的 WordPress 最快联系表单生成器插件:从 n/a 到 4.3.25。”
Patchstack 安全公司发现了该漏洞并向插件开发人员报告了该漏洞。
来自Patchstack:
“这可能允许恶意行为者直接与您的数据库进行交互,包括但不限于窃取信息。
该漏洞已在5.0.0版本中修复。”
尽管 Patchstack 的通报指出该漏洞已在版本 5.0.0 中修复,但根据 Fluent Form Contact Form Builder 变更日志(其中定期记录软件更改),没有迹象表明存在安全修复。
下载地址
如果你正在使用旧版Fluent Forms,建议尽快更新到最新版以保护网站安全。
声明:1、本站大部分资源均为网络采集所得,仅供用来学习研究,请于下载后的24h内自行删除,正式商用请购买正版。2、所有汉化类文件和个别标注了“原创”的产品均为本站原创发布,任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。3、如若本站内容侵犯了原著者的合法权益,请携带相关版权文件联系我们进行下架或删除。4、虚拟下载类资源具有可复制性,一经下载后本站有权拒绝退款或更换其他商品!
评论0