La falla crítica del complemento Forminator, afecta a más de 300.000 sitios de WordPress

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El complemento Forminator WordPress utilizado en más de 500.000 sitios es vulnerable a una falla que permite a actores maliciosos realizar cargas de archivos sin restricciones al servidor.

Forminator de WPMU DEV es un creador personalizado de contactos, comentarios, cuestionarios, encuestas/sondeos y formularios de pago para sitios de WordPress que ofrece funcionalidad de arrastrar y soltar, amplias integraciones con terceros y versatilidad general.

El jueves, el CERT de Japón publicó una alerta en su portal de notas de vulnerabilidad (JVN) advirtiendo sobre la existencia de una falla de gravedad crítica (CVE-2024-28890, CVSS v3: 9.8) en Forminator que puede permitir a un atacante remoto cargar malware en sitios usando el complemento.

“Un atacante remoto puede obtener información confidencial accediendo a archivos en el servidor, alterar el sitio que utiliza el complemento y provocar una condición de denegación de servicio (DoS)”. -JVN

El boletín de seguridad de JPCERT enumera las siguientes tres vulnerabilidades:

CVE-2024-28890: Validación insuficiente de archivos durante la carga de archivos, lo que permite a un atacante remoto cargar y ejecutar archivos maliciosos en el servidor del sitio. Afecta a Forminator 1.29.0 y versiones anteriores.

CVE-2024-31077: falla de inyección SQL que permite a atacantes remotos con privilegios de administrador ejecutar consultas SQL arbitrarias en la base de datos del sitio. Afecta a Forminator 1.29.3 y versiones anteriores.

CVE-2024-31857: falla de secuencias de comandos entre sitios (XSS) que permite a un atacante remoto ejecutar HTML y código de secuencia de comandos arbitrario en el navegador de un usuario si se le engaña para que siga un enlace especialmente diseñado. Afecta a Forminator 1.15.4 y versiones anteriores.

Se recomienda a los administradores del sitio que utilizan el complemento Forminator que actualicen el complemento a la versión 1.29.3, que soluciona los tres defectos, lo antes posible.

Las estadísticas de WordPress.org muestran que desde el lanzamiento de la actualización de seguridad el 8 de abril de 2024, aproximadamente 180.000 administradores de sitios han descargado el complemento. Suponiendo que todas esas descargas se refieran a la última versión, todavía hay 320.000 sitios que siguen siendo vulnerables a los ataques.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *