关于WordPress Gravity Forms PHP对象注入漏洞(CVE-2023-28782)的预警提示

发布者:李迎发布时间:2023-06-07浏览次数:559

一、漏洞详情

Gravity Forms(高级WordPress插件)是一个自定义表单生成器,可用于创建支付、注册、文件上传、访客网站互动或交易所需的表单。

近日监测到Gravity Forms插件中被披露存在PHP对象注入漏洞(CVE-2023-28782)。Gravity Forms插件版本<= 2.7.3中,由于用户提供的输入在传递给may_unserialize函数(PHP unserialize函数的包装器)之前未正确过滤,未经身份验证的用户可以将序列化字符串传递给易受攻击的反序列化调用,从而导致将任意PHP对象注入应用程序。该漏洞可能在Gravity Forms插件的默认安装或配置上触发,成功利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Gravity Forms插件版本:<= 2.7.3

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Gravity Forms插件版本:>=2.7.4


网络维修:0510-81838661 信息服务:0510-81838662 卡务服务:0510-81838663 宿舍网服务:18961706365 主任电话:0510-81838660

江苏省无锡市高浪西路1600号

Copyright © 188BET金宝搏(体育)app官网-登入平台 All Rights Reserved