Fluent Forms, un popular complemento de WordPress con más de 400,000 instalaciones activas presenta múltiples vulnerabilidades de seguridad críticas que ponen en riesgo a los sitios web. Estas fallas varían desde secuencias de comandos entre sitios (XSS) hasta acceso no autorizado y escalada de privilegios, permitiendo potencialmente a los atacantes comprometer sitios web y robar datos confidenciales.
- CVE-2024-2771 (CVSS 9.8): Falta de autorización para actualizar la configuración y escalar privilegios. Esta falla crítica permite a atacantes no autenticados concederse a sí mismos o a otros, acceso administrativo al complemento Fluent Forms, permitiéndoles manipular configuraciones y datos.
- CVE-2024-2782 (CVSS 7.5): Falta de autorización para la manipulación de configuración. Esta vulnerabilidad permite a atacantes no autenticados modificar todas las configuraciones del complemento, lo que podría alterar la funcionalidad del sitio web o permitir más actividades maliciosas.
- CVE-2024-4709 (CVSS 7.2): Esta vulnerabilidad permite a atacantes con permisos de nivel de colaborador o superior inyectar scripts maliciosos en páginas web, que luego pueden ejecutarse cuando los usuarios visitan esas páginas.
Productos y versiones afectadas:
- Fluent Forms: Todas las versiones anteriores a la 5.1.17.
Solución:
- Actualizar Fluent Forms a la versión 5.1.17, que soluciona las tres vulnerabilidades mencionadas y mitiga el riesgo de explotación.
Recomendaciones:
- Actualizar Fluent Forms inmediatamente a la última versión disponible.
- Revisar y ajustar cuidadosamente los permisos de los usuarios para limitar el acceso a funciones críticas.
- Monitorear activamente el sitio web para detectar cualquier actividad sospechosa.
Referencias: