关键信息 1. 漏洞编号: - JVN#65724976 2. 受影响的产品: - WordPress Plugin "Forminator" versions prior to 1.34.1 3. 描述: - Forminator插件允许用户创建和嵌入表单。当访问包含Forminator创建的表单的页面时,URL中的某些信息可能会被嵌入到表单中。 - 这些嵌入的信息被处理不当,导致跨站脚本(CWE-79)漏洞。 4. 影响: - 用户访问包含恶意URL的页面并访问包含Forminator创建的表单的网页时,可能会执行任意脚本。 5. 解决方案: - 更新插件并重建表单。 - 根据开发者的建议更新插件并重建之前创建的表单。 6. 供应商状态: - WPMU DEV已发布更新,修复了此问题。 7. 参考链接: - WPMU DEV的Forminator插件更新信息。 8. CVSS评分: - CVSS v3评分: 3.0 - Base Score: 6.1 9. 信用: - 由Asterisk Corporation的Yoshimitsu Kato报告。 - JPCERT/CC与开发人员协调,通过信息安全管理早期预警伙伴关系。 10. 其他信息: - JPCERT警报 - JPCERT报告 - CERT公告 - CPNI公告 - TRnotes - CVE: CVE-2024-45625 - JVN iPedia: JVNDB-2024-000097 总结 这个漏洞是WordPress插件Forminator的一个跨站脚本(CWE-79)漏洞,影响了所有版本早于1.34.1的Forminator插件。用户可以通过更新插件并重建表单来解决这个问题。