MADRID, 22 de abril (Portaltic/EP) –
El complemento Forminator de WordPress ha registrado varias vulnerabilidades, incluida una considerada crítica que permite a actores maliciosos realizar cargas de archivos al servidor a través de esta herramienta.
Forminator es un complemento de diseño de formularios que ofrece una variedad de formatos (contacto, pedido, pago, encuestas) y facilita su configuración. Asimismo, esta herramienta es compatible con Stripe y PayPal.
Esta solución también se integra con aplicaciones de terceros, como servicios de correo electrónico, CRM, almacenamiento y administradores de proyectos. Entre ellos, HubSpot, Google Sheets, Trello, Mailchimp y Slack.
Expertos del Equipo de Respuesta a Emergencias Informáticas (CERT) de Japón han publicado una alerta en su portal de notas de vulnerabilidad (JVN) advirtiendo de la existencia de una serie de vulnerabilidades, entre ellas una brecha de gravedad crítica en Forminator, según Bleeping Computer.
La falla, identificada como CVE-2024-28890, CVSS V3: 9.8, permite a actores maliciosos cargar malware usando Forminator y afecta a la versión 1.29.0 de este complemento y a versiones anteriores.
Más concretamente, con este fallo, los ciberdelincuentes pueden obtener “información sensible accediendo a archivos en el servidor, interrumpiendo el sitio usando el complemento y provocando un ataque de denegación de servicio (DDoS).
Otra vulnerabilidad (CVE-2024-31077) aparece como una falla de inyección de lenguaje de consulta estructurado (SQL), que permite a atacantes remotos privilegiados ejecutar consultas arbitrarias en la base de datos de WordPress. En este caso afecta Formador 1.29.3 y versiones anteriores.
El último de estos fallos (CVE-2024-31857), Cross Site Scripting (XSS), permite la inyección de ‘scripts’ maliciosos en estos sitios web y la ejecución de HTML, así como código de script arbitrario en los navegadores de los usuarios. . Esta tercera vulnerabilidad ha sido registrada en Formador 1.15.4 y versiones anteriores.
Los investigadores recomendaron actualizar el complemento a la versión 1.29.3 lo antes posible para corregir los tres agujeros de seguridad mencionados. Bleeping Computer también recomienda utilizar la menor cantidad de complementos posible y desactivar aquellos que no se utilizan con regularidad.
