Vulnerabilidades críticas en el plugin Forminator de WordPress

Se han revelado múltiples vulnerabilidades críticas en el ampliamente utilizado complemento Forminator de WordPress, exponiendo potencialmente a más de 500.000 sitios web a ataques maliciosos. Estas vulnerabilidades podrían permitir a los atacantes comprometer sitios web, robar datos confidenciales y provocar interrupciones en los servicios web.

• CVE-2024-28890 (CVSS 9.8): esta vulnerabilidad crítica se origina por una validación insuficiente al subir archivos, lo que permite a un atacante remoto cargar y ejecutar archivos maliciosos en el servidor del sitio, incluso podría dar el control total sobre el sitio infectado.

• CVE-2024-31077 (CVSS 7.2): es una vulnerabilidad de SQL Injection que permite a los atacantes, con privilegios de administrador, realizar consultas SQL maliciosas en la base de datos del sitio web. Esto podría resultar en el robo de datos, incluidas las credenciales de usuario, información confidencial del cliente u otros datos confidenciales del sitio. Los atacantes también podrían modificar el contenido de la base de datos o incluso eliminar bases de datos enteras.

• CVE-2024-31857 (CVSS 6.1): es una vulnerabilidad de Cross-site scripting (XSS) la cual hace posible que los atacantes inyecten código JavaScript malicioso en los formularios de un sitio web. Este código luego podría ejecutarse en el navegador de la víctima y usarse potencialmente para robar información de la sesión del usuario, redirigir a los usuarios a sitios web maliciosos o inyectar más contenido malicioso en el sitio web.

 Versiones afectadas:

• CVE-2024-28890: Versiones anteriores a la 1.29.0.
• CVE-2024-31077: Versiones anteriores a la 1.29.3.
• CVE-2024-31857: Versiones anteriores a la 1.15.4.

Solución:

• Actualizar el plugin Forminator a la versión 1.29.3

Recomendaciones:

• Actualizar el complemento Forminator a la última versión corregida disponible para solventar todas las vulnerabilidades mencionadas.

• Realizar una revisión de seguridad exhaustiva en el sitio web para detectar posibles intrusiones.

• Informar a los usuarios del sitio sobre la importancia de mantener actualizados los complementos y aplicar medidas de seguridad adicionales si es necesario.

Referencias:

• https://securityonline.info/critical-vulnerabilities-in-popular-forminator-wordpress-plugin-put-hundreds-of-thousands-of-websites-at-risk/
• https://www.bleepingcomputer.com/news/security/critical-forminator-plugin-flaw-impacts-over-300k-wordpress-sites/
• https://www.cve.org/CVERecord?id=CVE-2024-28890

• https://www.cve.org/CVERecord?id=CVE-2024-31077

• https://www.cve.org/CVERecord?id=CVE-2024-31857