安装量超过100万的WP表单插件Gravity Forms出现供应链攻击 官方版包含后门

Gravity Forms 是适用于 WordPress 平台的流行表单插件，这款插件的安装量已经超过 100 万次，可以帮助网站创建联系人信息、付款或其他在线表单，包括 Airbnb、ESPN、Nike、Google 等在 WordPress 站点中使用该插件。

最近有安全公司发现 Gravity Forms 疑似出现安全问题，网络安全公司 PatchStack 收到用户提交的报告，用户称 Gravity Forms 似乎发出可疑的 POST 请求，疑似是用来收集敏感信息的。

经过分析后安全公司发现 Gravity Forms 官方网站下载的版本确实存在后门，这个后门程序会收集网站的 URL、管理员后台路径、使用的主题、使用的插件、PHP 版本、WordPress 版本等。

值得注意的是黑客有能力通过这个后门程序执行更多恶意操作，例如在服务器上远程执行任意代码，不过暂时安全公司还未发现黑客执行更多恶意操作，或许是黑客还没来得及操作。

黑客用于收集信息的域名 Gravityapi.org 注册于 2025 年 7 月 8 日，可以看到是专门为了这次攻击而注册的域名，Gravity Forms 官方目前也已经确认确实遭到了攻击，但没有提供具体细节。

RocketGenius 分析后发现，此次供应链攻击涉及 7 月 10 日～11 日通过手动下载的 Gravity Forms 2.9.11.1 和 2.9.12 版，通过 Composer 安装的版本也同样受影响，建议用户删除并重新下载不受影响的新版本。