Autor: Joabe Kachorroski
O plugin Forminator WordPress usado em mais de 500.000 sites é vulnerável a uma falha que permite que atores maliciosos realizem uploads de arquivos irrestritos para o servidor.
O Forminator by WPMU DEV é um construtor de formulários de contato, feedback, questionários, pesquisas/polls e formulários de pagamento personalizados para sites WordPress que oferece funcionalidade de arrastar e soltar, integrações extensas de terceiros e versatilidade geral.
Na quinta-feira, o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no Forminator que pode permitir que um atacante remoto faça upload de malware em sites usando o plugin.
“Um atacante remoto pode obter informações confidenciais acessando arquivos no servidor, alterar o site que usa o plugin e causar uma condição de negação de serviço (DoS).” – JVN
O boletim de segurança do JPCERT lista as três vulnerabilidades seguintes:
CVE-2024-28890 – Validação insuficiente de ficheiros durante o carregamento de ficheiros, permitindo que um intruso remoto carregue e execute ficheiros maliciosos no servidor do site. Impactos Forminador 1.29.0 e anteriores.
CVE-2024-31077 – Falha de injeção SQL que permite que atacantes remotos com privilégios de administrador executem consultas SQL arbitrárias no banco de dados do site. Impactos Forminador 1.29.3 e anteriores.
CVE-2024-31857 – Falha de script entre sites (XSS) que permite a um intruso remoto executar HTML arbitrário e código de script no navegador de um utilizador se for enganado para seguir uma ligação especialmente concebida para o efeito. Impacts Forminator 1.15.4 e versões mais antigas.
Compartilhe sua opinião nos comentários. Sua participação faz toda a diferença! 