Il plug-in Forminator WordPress utilizzato in oltre 500.000 siti è vulnerabile a un difetto che consente agli autori malintenzionati di eseguire caricamenti di file senza restrizioni sul server.
Forminator di WPMU DEV è un generatore personalizzato di contatti, feedback, quiz, sondaggi/sondaggi e moduli di pagamento per siti WordPress che offre funzionalità di trascinamento della selezione, ampie integrazioni di terze parti e versatilità generale.
Giovedì, il CERT giapponese ha pubblicato un avviso sul suo portale delle note di vulnerabilità (JVN) avvertendo dell'esistenza di un difetto di gravità critica (CVE-2024-28890, CVSS v3: 9.8) in Forminator che potrebbe consentire a un utente malintenzionato remoto di caricare malware sui siti utilizzando il plug-in.
“Un utente malintenzionato remoto può ottenere informazioni sensibili accedendo ai file sul server, alterare il sito che utilizza il plug-in e causare una condizione di negazione del servizio (DoS).” – JVN
Il bollettino sulla sicurezza di JPCERT elenca le seguenti tre vulnerabilità:
- CVE-2024-28890 – Convalida insufficiente dei file durante il caricamento dei file, consentendo a un utente malintenzionato remoto di caricare ed eseguire file dannosi sul server del sito. Impatti Forminator 1.29.0 e versioni precedenti.
- CVE-2024-31077 – Difetto di SQL injection che consente agli aggressori remoti con privilegi di amministratore di eseguire query SQL arbitrarie nel database del sito. Impatti Forminator 1.29.3 e versioni precedenti.
- CVE-2024-31857 – Difetto di cross-site scripting (XSS) che consente a un utente malintenzionato remoto di eseguire codice HTML e script arbitrario nel browser di un utente se indotto con l'inganno a seguire un collegamento appositamente predisposto. Impatti Forminator 1.15.4 e versioni precedenti.
Si consiglia agli amministratori del sito che utilizzano il plug-in Forminator di aggiornare il plug-in alla versione 1.29.3, che risolve tutti e tre i difetti, il prima possibile.
WordPress.org mostrano le statistiche che dal rilascio dell'aggiornamento di sicurezza l'8 aprile 2024, circa 180.000 amministratori di siti hanno scaricato il plug-in. Supponendo che tutti i download riguardino l'ultima versione, ci sono ancora 320.000 siti che rimangono vulnerabili agli attacchi.
Al momento della stesura di questo articolo, non ci sono state segnalazioni pubbliche di sfruttamento attivo di CVE-2024-28890, ma a causa della gravità del difetto e dei requisiti facili da soddisfare per sfruttarlo, il rischio che gli amministratori posticipino l'aggiornamento è elevato. alto.
Per ridurre al minimo la superficie di attacco sui siti WordPress, utilizza il minor numero di plug-in possibile, aggiorna alla versione più recente il prima possibile e disattiva i plug-in che non vengono utilizzati/necessari attivamente.