【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞

2023-06-01 8,424

1. 通告信息



近日,安识科技A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞(CVE-2023-28782),目前该漏洞的细节已经公开披露。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述



漏洞名称:WordPress Gravity Forms PHP对象注入漏洞
CVE编号:CVE-2023-28782
简述:Gravity Forms(高级WordPress插件)是一个自定义表单生成器,可用于创建支付、注册、文件上传、访客网站互动或交易所需的表单,在全球范围内拥有近100 万的活跃安装量。
Gravity Forms插件版本<= 2.7.3中,由于用户提供的输入在传递给may_unserialize函数(PHP unserialize函数的包装器)之前未正确过滤,未经身份验证的用户可以将序列化字符串传递给易受攻击的反序列化调用,从而导致将任意 PHP 对象注入应用程序。该漏洞可能在Gravity Forms插件的默认安装或配置上触发,成功利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。


3. 漏洞危害



攻击者利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。


4. 影响版本



目前受影响的Gravity Forms插件版本:
Gravity Forms插件版本:<= 2.7.3


5. 解决方案



目前该漏洞已经修复,受影响用户可升级到以下版本:
Gravity Forms插件版本:>=2.7.4
下载链接:https://www.gravityforms.com/


6. 时间轴



-】2023年0530 安识科技A-Team团队监测到漏洞公布信息
-】2023年0531 安识科技A-Team团队根据漏洞信息分析
-】2023年0601 安识科技A-Team团队发布安全通告

本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/201254.html

Tags:
评论  (0)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号