新媒网 · 跨境数据社区

一款名为“Contact Form Entries Plugin”的WordPress插件近日被发现存在安全漏洞，该插件主要用于保存用户通过联系表单提交的信息。据外媒报道，这个漏洞可能允许未经身份验证的攻击者删除文件、发起拒绝服务攻击，甚至执行远程代码。

这个安全漏洞的严重程度被评为9.8分（满分10分），表明其潜在危害非常高。

据悉，这款插件，也被称为“Database for Contact Form 7, WPForms, Elementor Forms”，主要功能是将联系表单中的信息存储到WordPress数据库中。这样，网站管理员就可以方便地查看、搜索、标记、导出这些信息。目前，该插件的安装量已超过7万。

这个漏洞的核心在于，它允许未经身份验证的攻击者注入恶意的PHP对象。PHP对象是PHP编程语言中的一种数据结构，它可以被序列化（转换成字符序列）以便存储，之后还可以被反序列化（恢复成对象）。

问题就出在这个反序列化的过程中。如果WordPress网站同时安装了“Contact Form 7”插件，那么在反序列化过程中可能会触发一个“POP chain”。

根据安全机构Wordfence的公告显示，正是由于这个“POP chain”的存在，攻击者可以删除任意文件。如果攻击者删除了wp-config.php文件，就可能导致网站无法正常运行（拒绝服务攻击），甚至执行远程代码。

新媒网跨境了解到，所有版本直到1.4.3（包括1.4.3）的插件都存在这个漏洞。建议所有用户尽快将插件更新到最新版本，目前最新版本是1.4.5。新媒网认为，及时更新软件是保障网络安全的重要手段。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/13923.html