针对联系表单构建器漏洞发布的通报可能会泄露超过 200,000 个安装中的敏感信息
美国政府国家漏洞数据库 (NVD) 发布了有关影响 Metform Elementor Contact Form Builder WordPress 插件的漏洞的公告,该漏洞可能会泄露敏感信息。
适用于 WordPress 的 Metform Elementor 联系表单生成器
Metform Elementor 联系表单构建器是流行的 Elementor 页面构建器插件的第三方附加组件,安装量超过 200,000 次。
它提供了一个拖放界面,可以轻松构建联系表单,包括多步骤表单。
适用于 Elementor 的 Metform 联系表单构建器 WordPress 插件允许没有编码技能的初学者创建调查表单、联系表单、推荐反馈表单,还可以保存表单,以便用户在丢失并重新获得互联网连接时可以返回表单。
根据 WordPress 官方插件存储库:
“MetForm 是拖放式 WordPress 联系表单构建器,是 Elementor 的插件,可利用其拖放灵活性即时构建任何快速、安全的联系表单。
它可以管理多个联系表单,并且您可以使用 Elementor 构建器自定义多步骤表单。”
信息泄露漏洞
该漏洞允许攻击者获取敏感信息。
该漏洞被 NVD 评为中级威胁,因为它需要攻击者获得订户级或更高用户角色。
订户级用户角色激活漏洞的门槛相对较低,因为它比管理员或编辑级用户角色更容易获得。
攻击者只需订阅网站即可发起攻击。
Elementor 的网站描述了订阅者用户角色:
“WordPress 订阅者是只能编辑个人资料、阅读帖子和发表评论的网站用户。
WordPress 使用“角色”的概念使站点所有者能够控制和管理用户在站点内可以执行或不执行的任务(功能)集。
订阅者是最低级别的用户角色,拥有最少的权限。”
因此,攻击者可以使用最低级别的用户角色开始攻击该站点。
NVD描述了这一威胁:
“适用于 WordPress 的 Metform Elementor 联系表单生成器在 3.3.1 及以下版本中容易通过“mf_first_name”短代码遭受信息泄露。
这使得经过身份验证的攻击者(具有订户级或更高级别的能力)能够获取有关任意表单提交的敏感信息,包括提交者的名字。”
更新插件以减轻攻击威胁
此漏洞影响 Metform Elementor Contact Form Builder 插件版本高达 3.3.1 的版本。
该插件的最新版本是 3.4.0。
Metform Elementor Contact Form Builder Version 3.3.2 是修复该漏洞的版本。
根据官方 Metform Elementor Contact Form Builder 变更日志:
“版本3.3.2
...改进:安全性、随机数和授权检查。”
阅读官方 NVD 公告:
精选图片由 Shutterstock/pedrorsfernandes 提供
评论