【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞
近日,安识科技A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞(CVE-2023-28782),目前该漏洞的细节已经公开披露。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞名称:WordPress Gravity Forms PHP对象注入漏洞
简述:Gravity Forms(高级WordPress插件)是一个自定义表单生成器,可用于创建支付、注册、文件上传、访客网站互动或交易所需的表单,在全球范围内拥有近100 万的活跃安装量。
Gravity Forms插件版本<= 2.7.3中,由于用户提供的输入在传递给may_unserialize函数(PHP unserialize函数的包装器)之前未正确过滤,未经身份验证的用户可以将序列化字符串传递给易受攻击的反序列化调用,从而导致将任意 PHP 对象注入应用程序。该漏洞可能在Gravity Forms插件的默认安装或配置上触发,成功利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。
攻击者利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。
Gravity Forms插件版本:<= 2.7.3
Gravity Forms插件版本:>=2.7.4
下载链接:https://www.gravityforms.com/
【-】2023年05月30日 安识科技A-Team团队监测到漏洞公布信息
【-】2023年05月31日 安识科技A-Team团队根据漏洞信息分析
【-】2023年06月01日 安识科技A-Team团队发布安全通告
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/201254.html
必填 您当前尚未登录。 登录? 注册
必填(保密)