I siti Web WordPress che utilizzano il plug-in Forminator per moduli Web sono estremamente vulnerabili al caricamento e all'esecuzione di file dannosi. Il Centro di coordinamento del team di risposta alle emergenze informatiche giapponese (JPCERT/CC) lancia l'allarme a riguardo.
JPCERT/CC ha rilasciato un avviso per la vulnerabilità critica CVE-2024-28890 che colpisce i siti Web in esecuzione su WordPress. Questa vulnerabilità nel plugin Forminator consente ai criminali informatici di caricare ed eseguire file non autorizzati sui server che eseguono i siti Web attaccati.
Il plugin Forminator consente agli utenti di WordPress di creare tutti i tipi di moduli web e di integrarli nei loro siti web. La vulnerabilità ora riscontrata si applica a tutte le versioni del plugin Forminator fino alla v1.29.0. La versione più recente è apparsa nel mese di gennaio di quest'anno.
Elevato numero di siti Web vulnerabili
Il numero di siti WordPress vulnerabili con un plug-in Forminator ammonta a centinaia di migliaia. Ma il 55 per cento cifre da WordPress.org show, stanno utilizzando la versione 1.29.0 o successiva. Si ritiene che solo 200.000 siti con il plugin interessato siano sicuri, quindi il numero di siti vulnerabili è molto elevato.
I siti WordPress sono regolarmente vulnerabili tramite plugin. A volte ciò può portare direttamente a un milione di siti a rischio di attacco, come è successo a gennaio con il plugin Better Search replace. Spetta agli amministratori del sito web monitorare e fornire aggiornamenti ai plugin in uso.
Leggi anche: Il numero di vulnerabilità nei plugin di WordPress è raddoppiato