Falha do plugin Forminator afeta mais de 300 mil sites WordPress

Recentemente, o CERT do Japão publicou um alerta informando que uma falha do plugin Forminator afeta mais de 300 mil sites WordPress.

Forminator da WPMU DEV é um criador de contato personalizado, feedback, questionários, pesquisas/enquetes e formulários de pagamento para sites WordPress que oferece funcionalidade de arrastar e soltar, amplas integrações de terceiros e versatilidade geral.

Na quinta-feira, o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no Forminator que pode permitir que um invasor remoto carregue malware em sites usando o plug-in.

Falha do plugin Forminator afeta mais de 300 mil sites WordPress

Falha do plugin Forminator afeta mais de 300 mil sites WordPress

Sim. Uma falha do plugin Forminator afeta mais de 300 mil sites WordPress. O plugin Forminator WordPress usado em mais de 500.000 sites é vulnerável a uma falha que permite que agentes mal-intencionados realizem uploads irrestritos de arquivos para o servidor.

“Um invasor remoto pode obter informações confidenciais acessando arquivos no servidor, alterando o site que usa o plugin e causando uma condição de negação de serviço (DoS).” -JVN

O boletim de segurança do JPCERT lista as três vulnerabilidades a seguir:

  • CVE-2024-28890  – Validação insuficiente de arquivos durante o upload de arquivos, permitindo que um invasor remoto carregue e execute arquivos maliciosos no servidor do site. Impacta o Forminator 1.29.0 e versões anteriores.
  • CVE-2024-31077  – Falha de injeção de SQL que permite que invasores remotos com privilégios de administrador executem consultas SQL arbitrárias no banco de dados do site. Impacta o Forminator 1.29.3 e anteriores.
  • CVE-2024-31857  – Falha de script entre sites (XSS) que permite que um invasor remoto execute HTML arbitrário e código de script no navegador de um usuário se for enganado a seguir um link especialmente criado. Impacta o Forminator 1.15.4 e versões anteriores.

Os administradores do site que usam o plugin Forminator são aconselhados a atualizar o plugin para a versão 1.29.3, que corrige todas as três falhas, o mais rápido possível.

As estatísticas do WordPress.org mostram que desde o lançamento da atualização de segurança em 8 de abril de 2024, cerca de 180.000 administradores de sites baixaram o plugin.

Supondo que todos os downloads digam respeito à versão mais recente, ainda existem 320 mil sites que permanecem vulneráveis a ataques.

No momento em que este artigo foi escrito, não houve relatos públicos de exploração ativa do CVE-2024-28890, mas devido à gravidade da falha e aos requisitos fáceis de cumprir para aproveitá-la, o risco para os administradores adiarem a atualização é alto.

Para minimizar a superfície de ataque em sites WordPress, use o mínimo de plug-ins possível, atualize para a versão mais recente o mais rápido possível e desative plug-ins que não são usados/necessários ativamente.

Sair da versão mobile