formtools.org Form Tools 设置代码注入漏洞

该代码注入漏洞允许攻击者在 Form Tools 的管理界面注入恶意代码。攻击者可以利用此漏洞执行任意代码，从而可能完全控制受影响的系统。攻击者可以窃取敏感数据，例如用户凭据和配置信息。此外，攻击者还可以利用此漏洞进行横向移动，攻击网络中的其他系统。由于该漏洞已公开披露，攻击者可以轻松地利用此漏洞，因此存在高风险。

Organizations using Form Tools 3.1.1 are at risk, particularly those hosting the application on publicly accessible servers or shared hosting environments. Those using Form Tools to collect and store sensitive user data are at higher risk due to the potential for data compromise.

• php: Examine web server access logs for requests to /admin/settings/index.php?page=accounts with unusual or malformed 'Page Theme' parameters. Use grep to search for patterns indicative of code injection attempts.

grep 'Page Theme=[^a-zA-Z0-9_]' /var/log/apache2/access.log

• generic web: Use curl to test the /admin/settings/index.php?page=accounts endpoint with various payloads in the 'Page Theme' parameter and observe the server's response for signs of code execution.

curl 'http://your-formtools-server/admin/settings/index.php?page=accounts&Page Theme=<script>alert("XSS")</script>' -v

1. 2024-07-21Disclosure

   disclosure

1. 已保留2024-07-20
2. 发布日期2024-07-21
3. 修改日期2024-08-01
4. EPSS 更新日期2026-04-02

为了缓解此漏洞，建议立即升级到 Form Tools 3.1.2 版本。如果无法立即升级，可以尝试限制对 /admin/settings/index.php?page=accounts 页面的访问，只允许授权用户访问。此外，可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。监控 Form Tools 的日志文件，查找任何可疑活动，例如未经授权的代码执行尝试。升级后，请确认漏洞已修复，可以通过尝试注入恶意代码来验证。