Everest Forms Pro 插件中的一个严重安全漏洞允许攻击者完全控制网站。该漏洞已得到确认,影响了成千上万依赖该插件创建联系和注册表单的用户。对于访客而言,风险是直接的:如果管理员不将插件更新到最新版本,他们的个人数据可能会被泄露。
漏洞如何运作以及哪些版本面临风险 🛡️
该漏洞存在于一个缺乏适当验证的文件上传功能中。未经身份验证的攻击者可以向服务器发送恶意文件(如 PHP 脚本),并执行这些文件以控制网站。受影响的版本是 Everest Forms Pro 2.0.7 之前的版本。解决方案是立即更新。如果你使用此插件,请立即检查版本;如果你是使用该插件的网站用户,在确认更新之前不要输入数据。
那个要数据后又道歉的插件 😅
有趣的是,许多人安装 Everest Forms Pro 正是为了保护用户信息。现在却发现,这个守护者自己需要被拯救。这就像雇了一个保安,结果发现他才是打开后门的人。所以,如果你的网站用这个插件收集个人数据,也许是时候道歉并赶紧更新了。