Se ha detectado una vulnerabilidad alta en el plugin Fluent Forms, utilizado por más de 500,000 sitios web para crear formularios personalizados, encuestas y cuestionarios en WordPress. Este plugin es una herramienta clave para sitios que buscan proporcionar experiencias interactivas a sus usuarios.
- CVE-2024-10646 (CVSS: 7.2): Esta vulnerabilidad permite la inyección de scripts maliciosos en las páginas web mediante el parámetro «subject» del formulario. El problema radica en la limpieza insuficiente de las entradas, lo que abre la posibilidad de ejecutar código arbitrario al cargar las páginas afectadas.
Producto y versiones afectadas:
- Versiones anteriores a la 5.2.7 del plugin Fluent Forms para WordPress.
Solución:
- Actualizar a la versión 5.2.7 o posterior.
Recomendaciones:
- Actualizar todos los plugins a sus últimas versiones disponibles.
- Configurar políticas de revisión de código para detectar vulnerabilidades antes de la implementación.
- Evitar utilizar plugins innecesarios para reducir la superficie de ataque.
Referencias: