Plugin-ul Forminator pentru WordPress utilizat în peste 500.000 de site-uri este vulnerabil la o defecțiune care permite actorilor rău intenționați să încarce fișiere necontrolat pe server.
Forminator de la WPMU DEV este un constructor personalizat de formulare de contact, feedback, chestionare, sondaje, plăți pentru site-urile WordPress care oferă funcționalitate de trage și plasează, integrări extinse cu terțe părți și versatilitate generală.
Joia trecută, CERT-ul Japoniei a publicat o alertă pe portalul său de note de vulnerabilitate (JVN) avertizând despre existența unei defecțiuni cu severitate critică (CVE-2024-28890, CVSS v3: 9.8) în Forminator care ar putea permite unui atacator de la distanță să încarce malware pe site-urile care folosesc plugin-ul.
„Un atacator de la distanță poate obține informații sensibile accesând fișierele de pe server, modificând site-ul care folosește plugin-ul și provocând o condiție de denegare a serviciului (DoS).” – JVN
Buletinul de securitate al JPCERT listează următoarele trei vulnerabilități:
Administratorii site-urilor care folosesc plugin-ul Forminator sunt sfătuiți să actualizeze plugin-ul la versiunea 1.29.3, care abordează toate cele trei defecțiuni, cât mai curând posibil.
Statisticile de pe WordPress.org arată că, de la lansarea actualizării de securitate la 8 aprilie 2024, aproximativ 180.000 de administratori de site-uri au descărcat plugin-ul. Presupunând că toate aceste descărcări s-au referit la cea mai recentă versiune, încă există 320.000 de site-uri care rămân vulnerabile la atacuri.
Până în momentul redactării acestui articol, nu au existat rapoarte publice de exploatare activă pentru CVE-2024-28890, dar datorită gravității defecțiunii și cerințelor ușor de îndeplinit pentru a o exploata, riscul pentru administratorii care amână actualizarea este ridicat.
Pentru a minimiza suprafața de atac pe site-urile WordPress, utilizați cât mai puține plugin-uri posibil, actualizați la cea mai recentă versiune cât mai curând posibil și dezactivați plugin-urile care nu sunt utilizate/nu sunt necesare.
Leave a Reply