Более 300 тысяч сайтов WordPress с плагином Forminator затрагивает критическая уязвимость, которая позволяет удаленному злоумышленнику загружать вредоносное ПО на сайты.

Forminator от WPMU DEV — это универсальный конструктор различных форм (контактов, отзывов, викторин, обратной связи и тп.) для сайтов WordPress с более чем 1000 интеграциями.

О проблемах сообщил японский CERT, предупреждая о критической CVE-2024-28890 с CVSS v3: 9.8 в Forminator, открывающей по сути доступ к файлам на сервере со всеми вытекающими последствиями.

Кроме того, в бюллетене JPCERT также указаны и другие ошибки, среди которых CVE-2024-31077 и CVE-2024-31857.

Первая относится к уязвимости внедрения SQL, позволяя удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в базе данных сайта. Влияет на Forminator 1.29.3 и более ранние версии.

Вторая относится к XSS и открывает удаленному злоумышленнику возможности выполнения произвольного HTML-кода в браузере пользователя в случае перехода по специально созданной ссылке. Затрагивает на Forminator 1.15.4 и старше.

Администраторам сайтов с плагином Forminator рекомендуется как можно скорее обновиться до версии 1.29.3, включающей исправления для трех недостатков.

Пока сообщений об эксплуатации CVE-2024-28890 не поступало, но учитывая статистику загрузок плагина, все козыри в руках киберподполья.

SecAtor

Более 300 тысяч сайтов WordPress с плагином Forminator затрагивает критическая уязвимость, которая позволяет удаленному злоумышленнику загружать вредоносное ПО на сайты.

Forminator от WPMU DEV — это универсальный конструктор различных форм (контактов, отзывов, викторин, обратной связи и тп.) для сайтов WordPress с более чем 1000 интеграциями.

О проблемах сообщил японский CERT, предупреждая о критической CVE-2024-28890 с CVSS v3: 9.8 в Forminator, открывающей по сути доступ к файлам на сервере со всеми вытекающими последствиями.

Кроме того, в бюллетене JPCERT также указаны и другие ошибки, среди которых CVE-2024-31077 и CVE-2024-31857.

Первая относится к уязвимости внедрения SQL, позволяя удаленным злоумышленникам с правами администратора выполнять произвольные SQL-запросы в базе данных сайта. Влияет на Forminator 1.29.3 и более ранние версии.

Вторая относится к XSS и открывает удаленному злоумышленнику возможности выполнения произвольного HTML-кода в браузере пользователя в случае перехода по специально созданной ссылке. Затрагивает на Forminator 1.15.4 и старше.

Администраторам сайтов с плагином Forminator рекомендуется как можно скорее обновиться до версии 1.29.3, включающей исправления для трех недостатков.

Пока сообщений об эксплуатации CVE-2024-28890 не поступало, но учитывая статистику загрузок плагина, все козыри в руках киберподполья.

jvn.jp

JVN#50132400: Multiple vulnerabilities in WordPress Plugin "Forminator"

Japan Vulnerability Notes

hottg.com/true_secator/5665

8.9K viewsApr 23 at 09:41