Gli amministratori di WordPress che utilizzano il plug-in Forminator sui propri siti Web devono affrettarsi ad aggiornare i propri siti con l'ultima versione del plug-in. Questo perché nel plug-in Forminator esistevano numerose vulnerabilità che potevano consentire l'attivazione di arresti anomali del sito e caricamenti di file dannosi sui siti Web di destinazione.
Una delle tre vulnerabilità dei Forminator rappresentava una grave minaccia
Secondo un recente JPCERT/CC mettere in guardiaalmeno tre diverse vulnerabilità hanno crivellato il plugin WordPress Forminator. Lo sfruttamento di queste vulnerabilità potrebbe consentire caricamenti di file dannosi, accesso a informazioni archiviate e arresti anomali del sito.
Forminator è un plug-in dedicato alla creazione di moduli per siti WordPress. Facilita la creazione da parte degli utenti di vari moduli per diverse pagine Web, inclusi moduli di contatto, moduli di pagamento, moduli d'ordine, widget di feedback e altro ancora. IL pagina ufficiale del plugin attualmente vanta oltre 500.000 installazioni attive, indicando l'enorme numero di siti Web che potrebbero essere a rischio a causa di eventuali vulnerabilità nel plug-in.
Nello specifico, nel plugin esistevano le seguenti tre vulnerabilità.
- CVE-2024-28890 (CVSS 9.8): Una vulnerabilità di gravità critica che potrebbe consentire caricamenti di file senza restrizioni. Un malintenzionato potrebbe sfruttare la falla per caricare file dannosi sul server di destinazione, accedere a dati sensibili e persino alterare il plug-in per attivare la negazione del servizio (DoS).
- CVE-2024-31077 (CVSS 7.2): Un'altra vulnerabilità che potrebbe consentire attacchi DoS. Questa vulnerabilità SQL injection potrebbe consentire a un avversario di accedere o modificare le informazioni nel database di destinazione.
- CVE-2024-31857 (CVSS 6.1): Una vulnerabilità di cross-site scripting (XSS) che un utente malintenzionato potrebbe sfruttare per modificare il contenuto della pagina Web di destinazione e accedere alle informazioni dell'utente.
L'avviso riconosce il ricercatore di sicurezza Hibiki Moriyama di STNet Inc. per aver segnalato queste vulnerabilità.
Sebbene il CERT/CC non abbia menzionato nulla sui tentativi di sfruttamento attivi di nessuna di queste vulnerabilità, la minaccia persiste ancora. E, considerando la grave minaccia che queste vulnerabilità rappresentano, è fondamentale che tutti gli utenti di Forminator lo facciano patchare i loro siti al più presto con l'ultima versione del plugin (v.1.29.3).
Fateci sapere che ne pensate nei commenti.