一、漏洞详情
Gravity Forms(高级WordPress插件)是一个自定义表单生成器,可用于创建支付、注册、文件上传、访客网站互动或交易所需的表单。
近日监测到Gravity Forms插件中被披露存在PHP对象注入漏洞(CVE-2023-28782)。Gravity Forms插件版本<= 2.7.3中,由于用户提供的输入在传递给may_unserialize函数(PHP unserialize函数的包装器)之前未正确过滤,未经身份验证的用户可以将序列化字符串传递给易受攻击的反序列化调用,从而导致将任意PHP对象注入应用程序。该漏洞可能在Gravity Forms插件的默认安装或配置上触发,成功利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Gravity Forms插件版本:<= 2.7.3
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Gravity Forms插件版本:>=2.7.4