WordPress用プラグイン「Forminator」で複数の脆弱性が発生

WordPress用プラグイン「Forminator」で複数の脆弱性が発生しています。このプラグインは決済や問い合わせフォームにりようされていますので、対象者は早急にアップデートする必要があります。

対象CVEはCVE-2024-28890、CVE-2024-31077、CVE-2024-31857になります。

WordPress用プラグイン「Forminator」とは

Forminatorは支払いフォームや問い合わせ、クイズやアンケートフォームなどに利用できるプラグインです。

WordPress.org の 統計による と、2024 年 4 月 8 日のセキュリティ アップデートのリリース以来、約 180,000 人のサイト管理者がこのプラグインをダウンロードしました。これらすべてのダウンロードが最新バージョンに関するものであると仮定すると、依然として 320,000 のサイトが攻撃に対して脆弱なままです。

脆弱性の概要

• CVE-2024-28890  – ファイルのアップロード中のファイルの検証が不十分なため、リモート攻撃者がサイトのサーバーに悪意のあるファイルをアップロードして実行する可能性があります。 Forminator 1.29.0 以前が対象
  
• CVE-2024-31077  – SQL インジェクションの欠陥により、管理者権限を持つリモート攻撃者がサイトのデータベースで任意の SQL クエリを実行できるようになります。 Forminator 1.29.3 以前が対象
  
• CVE-2024-31857  – クロスサイト スクリプティング (XSS) の欠陥により、リモート攻撃者が特別に細工されたリンクをたどると、ユーザーのブラウザで任意の HTML およびスクリプト コードを実行できます。 Forminator 1.15.4 以降が対象

対処法

最新版へアップデート

引用

WordPress用プラグインForminatorにおける複数の脆弱性

Critical Forminator plugin flaw impacts over 300k WordPress sites