WordPress-plugin 'Gravity Forms' kwetsbaar voor PHP-objectinjectie

De premium WordPress plugin 'Gravity Forms', momenteel gebruikt door meer dan 930.000 websites, is kwetsbaar voor ongeauthenticeerde PHP Object Injectie.

Gravity Forms is een aangepaste formulier builder website-eigenaren gebruiken voor het maken van betaling, registratie, bestand uploaden, of een ander formulier dat nodig is voor bezoeker-site interacties of transacties.

Op zijn website beweert Gravity Forms dat het wordt gebruikt door een groot aantal grote bedrijven, waaronder Airbnb, ESPN, Nike, NASA, PennState en Unicef.

De kwetsbaarheid, die wordt getraceerd als CVE-2023-28782, treft alle plugin-versies vanaf 2.73 en lager.

Het lek werd ontdekt door PatchStack op 27 maart 2023 en verholpen door de leverancier met de release van versie 2.7.4, die beschikbaar werd gesteld op 11 april 2023.

Websitebeheerders die Gravity Forms gebruiken, wordt aangeraden de beschikbare beveiligingsupdate zo snel mogelijk toe te passen.

[Lees verder bij BleepingComputer]