【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞

SecPulse安全脉搏 2023-06-01 11:10

1. 通告信息

近日，安识科技
A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞（CVE-2023-28782），目前该漏洞的细节已经公开披露。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：
WordPress Gravity Forms PHP对象注入漏洞

CVE编号：
CVE-2023-28782

简述：
Gravity Forms（高级WordPress插件）是一个自定义表单生成器，可用于创建支付、注册、文件上传、访客网站互动或交易所需的表单，在全球范围内拥有近100 万的活跃安装量。

Gravity Forms插件版本<= 2.7.3中，由于用户提供的输入在传递给may_unserialize函数（PHP unserialize函数的包装器）之前未正确过滤，未经身份验证的用户可以将序列化字符串传递给易受攻击的反序列化调用，从而导致将任意 PHP 对象注入应用程序。该漏洞可能在Gravity Forms插件的默认安装或配置上触发，成功利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。

3. 漏洞危害

攻击者利用该漏洞可能导致任意文件访问或修改、信息泄露或代码执行等。

4. 影响版本

目前受影响的
Gravity Forms插件版本：

Gravity Forms插件版本：<= 2.7.3

5. 解决方案

目前该漏洞已经修复，受影响用户可升级到以下版本：

Gravity Forms插件版本：>=2.7.4

下载链接：
https://www.gravityforms.com/

6. 时间轴

【
-】2023年0
5
月
30
日
安识科技
A-Team团队监测到漏洞公布信息

【
-】2023年0
5
月
31
日
安识科技
A-Team团队根据漏洞信息分析

【
-】2023年0
6
月
0
1
日
安识科技
A-Team团队发布安全通告