HostCuritiba

  Por Mês

Abril 2024
Março 2024
Fevereiro 2024
Janeiro 2024
Dezembro 2023
Outubro 2023
Julho 2023
Junho 2023
Maio 2023
Abril 2023
Antigos Anuncios...
Ver RSS Feed

  Por Mês

Falha crítica do plugin Forminator afeta mais de 300 mil sites WordPress

  • Sabado, 20th Abril, 2024
  • 12:25pm

O plugin Forminator WordPress usado em mais de 500.000 sites é vulnerável a uma falha que permite que agentes mal-intencionados realizem uploads irrestritos de arquivos para o servidor.

Forminator da WPMU DEV é um criador de contato personalizado, feedback, questionários, pesquisas/enquetes e formulários de pagamento para sites WordPress que oferece funcionalidade de arrastar e soltar, amplas integrações de terceiros e versatilidade geral.

Na quinta-feira, o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no Forminator que pode permitir que um invasor remoto carregue malware em sites usando o plug-in.

“Um invasor remoto pode obter informações confidenciais acessando arquivos no servidor, alterando o site que usa o plugin e causando uma condição de negação de serviço (DoS).” -JVN ​

O boletim de segurança do JPCERT lista as três vulnerabilidades a seguir:

CVE-2024-28890  – Validação insuficiente de arquivos durante o upload de arquivos, permitindo que um invasor remoto carregue e execute arquivos maliciosos no servidor do site. Impacta o Forminator 1.29.0 e versões anteriores.

CVE-2024-31077  – Falha de injeção de SQL que permite que invasores remotos com privilégios de administrador executem consultas SQL arbitrárias no banco de dados do site. Impacta o Forminator 1.29.3 e anteriores.

CVE-2024-31857  – Falha de script entre sites (XSS) que permite que um invasor remoto execute HTML arbitrário e código de script no navegador de um usuário se for enganado a seguir um link especialmente criado. Impacta o Forminator 1.15.4 e versões anteriores.

Os administradores do site que usam o plugin Forminator são aconselhados a atualizar o plugin para a versão 1.29.3, que corrige todas as três falhas, o mais rápido possível.

As estatísticas do WordPress.org  mostram  que desde o lançamento da atualização de segurança em 8 de abril de 2024, cerca de 180.000 administradores de sites baixaram o plugin. Supondo que todos os downloads digam respeito à versão mais recente, ainda existem 320 mil sites que permanecem vulneráveis ​​a ataques.

No momento em que este artigo foi escrito, não houve relatos públicos de exploração ativa do CVE-2024-28890, mas devido à gravidade da falha e aos requisitos fáceis de cumprir para aproveitá-la, o risco para os administradores adiarem a atualização é alto.

Para minimizar a superfície de ataque em sites WordPress, use o mínimo de plug-ins possível, atualize para a versão mais recente o mais rápido possível e desative plug-ins que não são usados/necessários ativamente.

Fonte: bleepingcomputer.com

« Retornar

ico-whatsapp
Dúvidas por WhatsApp
ico-chat
Dúvidas por Web Chat
ico-ticket.png
Abrir ticket Suporte