• Casa
  • Blog
  • Wordpress
  • Vulnerabilità nei moduli Fluent Modulo di contatto WordPress Plugin
Wordpress

Vulnerabilità nei moduli Fluent Modulo di contatto WordPress Plugin

Da La Redazione
su 05/11/2023
fluent-forms-vulnerability-65455f4336218-sej.jpg

È stato scoperto che il popolare plugin Fluent Forms Contact Form Builder per WordPress, con oltre 300.000 installazioni, contiene una vulnerabilità SQL Injection che potrebbe consentire l’accesso al database agli hacker.

La vulnerabilità potrebbe essere stata corretta a giugno, ma è stata appena annunciata il 3 novembre 2023.

Fluent Forms Generatore di moduli di contatto

Fluent Forms Contact Form Builder è uno dei moduli di contatto più popolari per WordPress, con oltre 300.000 installazioni.

La sua interfaccia drag-and-drop semplifica la creazione di moduli di contatto personalizzati in modo che gli utenti non debbano imparare a programmare.

La possibilità di utilizzare il plugin per creare praticamente qualsiasi tipo di modulo di input lo rende la scelta migliore.

Gli utenti possono sfruttare il plug-in per creare moduli di iscrizione, moduli di pagamento e moduli per la creazione di quiz.

Inoltre si integra con applicazioni di terze parti come MailChimp, Zapier e Slack.

È importante sottolineare che ha anche una capacità di analisi nativa.

Questa incredibile flessibilità rende Fluent Forms la scelta migliore perché gli utenti possono ottenere così tanto con un solo plug-in.

Neutralizzazione degli ingressi

Ogni plug-in che consente ai visitatori del sito di inserire dati direttamente nel database, in particolare i moduli di contatto, deve elaborare tali input in modo da non consentire inavvertitamente agli hacker di inserire script o comandi SQL che consentano a utenti malintenzionati di apportare modifiche inaspettate.

Questa particolare vulnerabilità rende il plugin Fluent Forms aperto a una vulnerabilità SQL injection che è particolarmente grave se un hacker riesce nei suoi tentativi.

Vulnerabilità dell’iniezione SQL

SQL, che significa Structured Query Language, è un linguaggio utilizzato per interagire con i database.

Una query SQL è un comando per accedere, modificare o organizzare i dati archiviati in un database.

Un database è ciò che contiene tutto ciò che viene utilizzato per creare un sito Web WordPress, come password, contenuti, temi e plugin.

Il database è il cuore e il cervello di un sito Web WordPress.

Di conseguenza, la capacità di “interrogare” arbitrariamente un database è un livello di accesso straordinario che non dovrebbe assolutamente essere disponibile a utenti o software non autorizzati al di fuori del sito web.

Un attacco SQL injection si verifica quando un utente malintenzionato è in grado di utilizzare un’interfaccia di input altrimenti legittima per inserire un comando SQL in grado di interagire con il database.

Il progetto no-profit Open Worldwide Application Security Project (OWASP) descrive le conseguenze devastanti di una vulnerabilità SQL injection:

  • “Gli attacchi SQL injection consentono agli aggressori di falsificare l’identità, manomettere i dati esistenti, causare problemi di ripudio come l’annullamento di transazioni o la modifica dei saldi, consentire la completa divulgazione di tutti i dati sul sistema, distruggere i dati o renderli altrimenti non disponibili e diventare amministratori di il server della banca dati.
  • SQL Injection è molto comune con le applicazioni PHP e ASP a causa della prevalenza di interfacce funzionali più vecchie. A causa della natura delle interfacce programmatiche disponibili, le applicazioni J2EE e ASP.NET hanno meno probabilità di sfruttare facilmente le SQL injection.
  • La gravità degli attacchi SQL Injection è limitata dall’abilità e dall’immaginazione dell’aggressore e, in misura minore, dalle contromisure di difesa approfondite, come connessioni con privilegi bassi al server del database e così via. In generale, considera SQL Injection una gravità ad alto impatto.

Neutralizzazione impropria

Il Vulnerability Database (NVD) degli Stati Uniti ha pubblicato un avviso sulla vulnerabilità in cui descriveva il motivo della vulnerabilità come una “neutralizzazione impropria”.

La neutralizzazione è un riferimento a un processo volto a garantire che tutto ciò che viene immesso in un’applicazione (come un modulo di contatto) sarà limitato a quanto previsto e non consentirà nient’altro rispetto a quanto previsto.

La corretta neutralizzazione di un modulo di contatto significa che non consentirà un comando SQL.

Il database delle vulnerabilità degli Stati Uniti descritto la vulnerabilitàsì:

“Neutralizzazione impropria degli elementi speciali utilizzati in una vulnerabilità del comando SQL (“SQL Injection”) nel modulo di contatto – WPManageNinja LLC Plugin del modulo di contatto – Il plug-in più veloce per la creazione di moduli di contatto per WordPress di Fluent Forms fluentform consente l’iniezione di SQL.

Questo problema riguarda il plugin dei moduli di contatto – Il plugin più veloce per la creazione di moduli di contatto per WordPress di Fluent Forms: da n/a fino alla versione 4.3.25.”

La società di sicurezza Patchstack ha scoperto e segnalato la vulnerabilità agli sviluppatori del plugin.

Secondo PatchStack:

“Ciò potrebbe consentire a un attore malintenzionato di interagire direttamente con il tuo database, incluso ma non limitato al furto di informazioni.

Questa vulnerabilità è stata risolta nella versione 5.0.0.”

Sebbene l’avviso di Patchstack affermi che la vulnerabilità è stata risolta nella versione 5.0.0, non vi è alcuna indicazione di una correzione di sicurezza secondo il registro delle modifiche di Fluent Form Contact Form Builder, dove le modifiche al software vengono regolarmente registrate.

Questo è il generatore di moduli di contatto di Fluent Forms registro delle modifiche voce per la versione 5.0.0:

  • “5.0.0 (DATA: 22 GIUGNO 2023)
    UI rinnovata e UX migliore
  • Miglioramento globale dello styler
  • Il nuovo framework per una risposta più rapida
  • Risolto il problema con il campo ripetitore che non veniva visualizzato correttamente sul PDF
  • Risolto il problema con WPForm Migrator che non trasferiva correttamente i campi di testo in campi di input di testo con la lunghezza massima del testo corretta
  • Risolto il problema con la migrazione delle voci
  • Formato numerico fisso nei file PDF
  • Risolto il problema relativo all’etichetta del campo radio
  • Aggiornate le rotte dell’Ajax alle Rest Routes
  • Convenzione di denominazione dei filtri e degli hook di azione aggiornata con il supporto degli hook più vecchi
  • Stringhe di traduzione aggiornate”

È possibile che una di queste voci sia la correzione. Ma alcuni sviluppatori di plugin vogliono mantenere segrete le correzioni di sicurezza, per qualsiasi motivo.

Raccomandazioni:

Si consiglia agli utenti del modulo di contatto di aggiornare il proprio plugin il prima possibile.

Immagine in primo piano di Shutterstock/Kues

Articoli Correlati

Wordpress

WordPress in conflitto con il provider hosting: aggiornamenti impossibili – Techzine Europe

Wordpress

Ottieni un tasso di conversione più elevato con l’intelligenza artificiale per WooCommerce – NewsWatch

Wordpress

Nuovo plugin WordPress semplifica il raggiungimento del successo – Search Engine Journal

Wordpress

I cinque migliori plugin di backup di WordPress per evitare disastri – SitePoint

Wordpress

Un altro dei principali plugin di WordPress presenta una grave falla di sicurezza e milioni di siti potrebbero essere interessati – MSN

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I nostri partner

Su Bannersites.com metti la tua pubblicità a costi bassissimi.

Tramite Seolink.online potrai accedere e gestire i tuoi annunci per pubblicare contenuti sul tuo sito web.

La lista completa per i guest post.

Per il tuo network, sfrutta i nostri partner di fiducia, pubblica e gestisci i tuoi backlink seo.

Copyright © 2022. Tutti i diritti Riservati. Sito web creato con ❤️ da Creo Group™ Wellness e Sponsor Elite
Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?