Vulnerabilidad crítica afecta a más de 400,000 sitios web con el plugin Forminator para WordPress

wordpress 6.2.1 la lia shortcodes

Una vulnerabilidad crítica en el plugin Forminator de WordPress, utilizado en más de 400,000 sitios web, ha sido parcheada según la Base de Datos Nacional de Vulnerabilidades de Estados Unidos (NVD). La vulnerabilidad ha recibido una puntuación de 9.8 sobre 10 en la escala de gravedad.

Detalles de la Vulnerabilidad

La NVD publicó una notificación acerca de la vulnerabilidad crítica que afecta a las versiones del plugin Forminator WordPress Contact Form hasta la 1.24.6.

El fallo permite a atacantes no autenticados subir archivos maliciosos a sitios web, lo que podría llevar a la ejecución remota de código.

Vulnerabilidad a Atacantes No Autenticados

La mayor parte de las vulnerabilidades requieren que un atacante alcance primero un nivel de usuario en WordPress para lanzar un ataque.

Lo que hace a esta vulnerabilidad especialmente preocupante es que permite a atacantes no autenticados comprometer el sitio, sin necesidad de tener un nivel de usuario.

Descripción Oficial de la Vulnerabilidad

“El plugin Forminator para WordPress es vulnerable a subidas de archivos arbitrarios debido a que la validación del tipo de archivo ocurre después de que un archivo ha sido subido al servidor en la función upload_post_image() en versiones hasta, e incluyendo, la 1.24.6. Esto hace posible que atacantes no autenticados suban archivos arbitrarios en el servidor del sitio afectado, lo cual puede hacer posible la ejecución remota de código.”

Ejecución Remota de Código (RCE)

Una vulnerabilidad de Ejecución Remota de Código (RCE) es un tipo de exploit en el cual el atacante puede ejecutar código malicioso en el sitio web atacado desde otra máquina.

El daño causado por este tipo de vulnerabilidad puede llegar a ser tan severo como la adquisición total del sitio web.

Importancia de Seguridad en Formularios de Contacto

Los plugins de WordPress que permiten a usuarios registrados o no autenticados subir cualquier tipo de archivo, deben tener una forma de limitar lo que puede ser subido.

Los formularios de contacto deben ser especialmente seguros ya que aceptan información del público.

Imagen de Wordfence.com

Vulnerabilidades No Específicas de WordPress

Estas vulnerabilidades no son exclusivas de WordPress; pueden ocurrir en cualquier Sistema de Gestión de Contenidos.

WordPress publica estándares de codificación para que los desarrolladores sepan cómo prevenir este tipo de situaciones.

¿Ha sido resuelta la vulnerabilidad?

Según la NVD y la empresa de seguridad de WordPress Wordfence, el problema ha sido resuelto en la versión 1.25.0.

Wordfence recomienda actualizar a la última versión disponible, o a una versión más nueva que haya recibido el parche.

Importancia del Registro de Cambios

Un registro de cambios es un historial de todas las modificaciones realizadas en un software. Permite a los usuarios decidir si desean o no actualizar su software.

Es una buena práctica informar a los usuarios que una actualización específica resuelve una vulnerabilidad, para que puedan tomar una decisión informada sobre la actualización de su software.

Fuente: https://www.searchenginejournal.com/forminator-contact-form-vulnerability/495140


También podría ser de tu interés:

Deja un comentario