O plugin Forminator WordPress usado em mais de 500 mil sites no mundo é vulnerável a uma falha que permite que operadores de ameaças realizem uploads irrestritos de arquivos para o servidor. O Forminator, da WPMU DEV, é um criador de contato personalizado, feedback, questionários, pesquisas/enquetes e formulários de pagamento para sites WordPress que oferece funcionalidade de arrastar e soltar, amplas integrações com terceiros e versatilidade geral.
Na quinta-feira passada,18, o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) informando sobre a existência de uma falha de gravidade crítica no Forminator (CVE-2024-28890, classificada com nota 9.8 no sistema de pontuação comum de vulnerabilidades – CVSS), que pode permitir que um invasor remoto carregue malware em sites usando o plug-in. “Um invasor remoto pode obter informações confidenciais acessando arquivos no servidor, alterando o site que usa o plugin e causando uma condição de negação de serviço (DoS)”, diz a nota no JVN.
O boletim de segurança do JPCERT lista três vulnerabilidades:
• CVE-2024-28890 – Validação insuficiente de arquivos durante o upload de arquivos, permitindo que um invasor remoto carregue e execute arquivos maliciosos no servidor do site. Impacta o Forminator 1.29.0 e versões anteriores.
• CVE-2024-31077 – Falha de injeção de SQL que permite que invasores remotos com privilégios de administrador executem consultas SQL arbitrárias no banco de dados do site. Impacta o Forminator 1.29.3 e anteriores.
• CVE-2024-31857 – Falha de cross-site scripting (XSS) que permite que um invasor remoto execute HTML arbitrário e código de script no navegador de um usuário se for enganado a seguir um link especialmente criado. Impacta o Forminator 1.15.4 e versões anteriores.
Veja isso
50 mil sites WordPress estão sob risco por bug no plugin de backup
Backdoor disfarçada de plugin permite hack a sites WordPress
Os administradores de site que usam o plugin Forminator são aconselhados a atualizá-lo para a versão 1.29.3, que corrige todas as três falhas, o mais rápido possível.
As estatísticas do WordPress.org mostram que desde o lançamento da atualização de segurança no dia 8 deste mês, cerca de 180 mil administradores de sites baixaram o plugin. Supondo que todos os downloads digam respeito à versão mais recente, ainda existem 320 mil sites que permanecem vulneráveis a ataques.
Para mais detalhes sobre a falha crítica no Forminator clique aqui.