Il JPCERT Coordination Center, l’organizzazione nazionale di cybersecurity giapponese, ha recentemente reso noto una vulnerabilità critica identificata in Forminator, un popolare plugin di WordPress utilizzato su oltre 500.000 siti web.
Forminator è noto per offrire un builder drag&drop per la creazione di form personalizzati per contatti, feedback, sondaggi e pagamenti, oltre a numerose integrazioni con servizi di terze parti. Per la sua versatilità, è tra le estensioni più utilizzate dagli utenti WordPress, il che lo rende un obiettivo attraente per gli attaccanti.
La vulnerabilità, tracciata come CVE-2024-28890 e con un punteggio di gravità di 9.8 su 10, consente agli attaccanti di caricare file dannosi sui siti web colpiti per sottrarre informazioni sensibili, compromettere il sito e potenzialmente provocare un’interruzione di servizio.
Questo bug colpisce tutte le versioni di Forminator antecedenti alla 1.29.0 ed è stato risolto lo scorso 8 aprile nella versione 12.9.3 del plugin. Tuttavia, secondo BleepingCompute, dei più dei 500.000 siti web che hanno il plugin installato, almeno 320.000 di questi sono ancora vulnerabili utilizzando ancora una versione vulnerabile di Forminator.
JPCERT ha inoltre segnalato altre due vulnerabilità in Forminator: la CVE-2024-31077, una vulnerabilità di SQL injection che colpisce versioni precedenti alla 1.29.3 e consente a un attaccante di eludere i controlli di sicurezza ed eseguire comandi, e la CVE-2024-31857, una vulnerabilità di Cross-site scripting che riguarda versioni precedenti alla 1.15.4 e permette a un attaccante di accedere a cookie di sessione e inviare richieste malevole al sito.
Al momento non si hanno segnalazioni di exploit attivi, ma vista la gravità della prima vulnerabilità e la facilità con cui può essere sfruttata, si consiglia agli utenti di aggiornare immediatamente Forminator alla versione più recente per proteggere i loro siti WordPress dalla minaccia potenziale.
https://www.securityinfo.it/2024/04/22/vulnerabilita-critica-forminator-wordpress/
