漏洞速览
- 漏洞编号:
CVE-2026-5192 - 风险评分:
7.5(高危) - 首次披露:2026-05-04
- 最近更新:2026-05-04
- 软件类型:插件
- 软件标识:
forminator - 受影响版本:<= 1.52.1
- 修复版本:1.52.2
- 是否已修复:是
漏洞详情
Forminator Forms(WordPress联系人表单、支付表单及自定义表单构建器插件)在1.52.1及以下版本中存在路径遍历漏洞,攻击者可利用upload-1[file][file_path]参数在未经认证的情况下读取服务器上的任意文件内容,可能导致敏感信息泄露。成功利用此漏洞需满足以下条件:表单需公开发布、包含文件上传字段、在行为设置中启用"保存并继续"功能,同时在邮件通知中配置将上传文件作为附件。
影响与风险
- 漏洞类型:Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'
- 风险说明:漏洞可能被利用以执行未授权操作,建议按官方修复方案立即升级并复核安全配置。
- 研究人员:daroo
修复建议
- 按官方建议执行修复:更新至 1.52.2 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
