Il National Vulnerability Database (NVD) del governo statunitense ha emesso un avviso su una vulnerabilità che interessa il plugin WordPress Metform Elementor Contact Form Builder che potrebbe far trapelare informazioni sensibili.
Metform Elementor Generatore di moduli di contatto per WordPress
Il generatore di moduli di contatto Metform Elementor è un componente aggiuntivo di terze parti del popolare plug-in per la creazione di pagine Elementor con oltre 200.000 installazioni.
Offre un’interfaccia drag-and-drop che semplifica la creazione di moduli di contatto, inclusi moduli in più passaggi.
Il plug-in WordPress per la creazione di moduli di contatto Metform per Elementor consente ai principianti senza competenze di codifica di creare moduli per sondaggi, moduli di contatto, moduli di feedback sui referral e può anche salvare un modulo in modo che un utente possa tornare al modulo se perde e riacquista la connessione Internet.
Secondo il repository ufficiale dei plugin WordPress:
“MetForm, il generatore di moduli di contatto WordPress drag-and-drop è un componente aggiuntivo per Elementor, crea al volo qualsiasi modulo di contatto veloce e sicuro con la sua flessibilità di drag-and-drop.
Può gestire più moduli di contatto e puoi personalizzare il modulo in più passaggi con un builder Elementor.
Vulnerabilità nella divulgazione di informazioni
La vulnerabilità consente a un utente malintenzionato di ottenere informazioni riservate.
Questa vulnerabilità è classificata dalla NVD come una minaccia di livello medio perché richiede che un utente malintenzionato ottenga un ruolo utente a livello di abbonato o superiore.
Un ruolo utente a livello di abbonato è un livello relativamente basso per l’attivazione dell’exploit, poiché è più facile da ottenere rispetto a un ruolo utente a livello di amministratore o editor.
Un utente malintenzionato deve solo iscriversi a un sito web per poter sferrare un attacco.
Il sito web di Elementor descrive il ruolo utente dell’abbonato:
“Un abbonato a WordPress è un utente del sito che può solo modificare il proprio profilo, leggere post e lasciare commenti.
WordPress utilizza il concetto di “ruoli” per consentire al proprietario di un sito di controllare e gestire quale insieme di attività (capacità) gli utenti possono eseguire o meno all’interno del sito.
Un abbonato è il livello più basso di ruolo utente con il minor numero di autorizzazioni. “
Pertanto, un utente malintenzionato può iniziare ad hackerare il sito con il ruolo utente di livello più basso.
Il NVD descrive la minaccia:
“Il Metform Elementor Contact Form Builder per WordPress è vulnerabile alla divulgazione di informazioni tramite lo shortcode ‘mf_first_name’ nelle versioni fino alla 3.3.1 inclusa.
Ciò consente agli aggressori autenticati, con capacità a livello di abbonato o superiore, di ottenere informazioni sensibili sugli invii di moduli arbitrari, incluso il nome del mittente.”
Aggiorna il plugin per mitigare la minaccia di attacco
Questa vulnerabilità interessa le versioni del plug-in Metform Elementor Contact Form Builder fino alla 3.3.1 inclusa.
La versione più recente del plugin è la 3.4.0.
Metform Elementor Contact Form Builder versione 3.3.2 è la versione che ha risolto la vulnerabilità.
Secondo il Log delle modifiche ufficiale del generatore di moduli di contatto Metform Elementor:
“Versione 3.3.2
…Migliorato: sicurezza, nonce e controllo delle autorizzazioni.”
Leggi l’avviso ufficiale NVD:
Immagine in primo piano di Shutterstock/pedrorsfernandes