El complemento de WordPress Forminator ha registrado varias vulnerabilidades, entre las que se encuentra una considerada crítica que permite a los actores maliciosos realizar cargas de archivos en el servidor a través de esta herramienta.
Forminator es un ‘plugin’ de maquetación de formularios, que ofrece una variedad de formatos (de contacto, de pedido, de pago, encuestas) y facilita su configuración. Asimismo, esta herramienta es compatible con Stripe y PayPal.
Esta solución también se integra en aplicaciones de terceros, como servicios de correo electrónico, CRM, almacenamiento y administradores de proyectos. Entre ellas, HubSpot, Google Sheets, Trello, Mailchimp y Slack.
Expertos del Equipo de Respuesta ante Emergencias Informáticas (CERT) de Japón han publicado una alterta en su portal de notas de vulnerabilidad (JVN) advirtiendo sobre la existencia de una serie de vulnerabilidades, entre las que se encuentra una brecha de gravedad crítica en Forminator, según Bleeping Computer.
La falla, identificada como CVE-2024-28890, CVSS V3: 9.8, permite a los actores maliciosos cargar ‘malware’ empleando Forminator y afecta a la versión 1.29.0 de este ‘plugin’ y versiones anteriores.
Más concretamente, con esta falla los ciberdelincuentes pueden obtener “información confidencial accediendo a archivos en el servidor, alterar el sitio que utiliza el complemento y provocar un ataque de denegación de servicio (DDoS).
Otra de las vulnerabilidades (CVE-2024-31077) se recoge como una falla de inyección del lenguaje de consulta estructurada (SQL), que permite a los atacantes remotos con privilegios ejecutar consultas arbitrarias en la base de datos de WordPress. En este caso, afecta a Forminator 1.29.3 y versiones anteriores.
La última de estas fallas (CVE-2024-31857), Cross Site Scripting (XSS), permite la inyección de ‘scripts’ maliciosos en estos sitios web y ejecutar HTML, así como código de secuencia de comandos arbitrario en el navegador de los usuarios. Esta tercera vulnerabilidad se ha registrado en Forminator 1.15.4 y versiones anteriores.
Los investigadores han recomendado actualizar el complemento a la versión 1.29.3 lo antes posible para corregir las tres brechas de seguridad mencionadas. Desde Bleeping Computer, además, aconsejan emplear la menor cantidad de complementos posible y desactivar aquellos que no se utilicen habitualmente.
