En este reporte de seguridad, se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder para WordPress, que permite a atacantes autenticados con nivel de administrador inyectar scripts maliciosos en las páginas del sitio. En este artículo, te proporcionaremos los detalles de esta vulnerabilidad y algunas soluciones prácticas para solucionar el problema.
El plugin Formidable Forms – Contact Form, Survey, Quiz, Payment, Calculator Form & Custom Form Builder para WordPress, en su versión hasta 6.7, es vulnerable a ataques de Cross-Site Scripting almacenada. Esta vulnerabilidad se debe a una falta de sanitización de las entradas y escape de salida en los campos ‘name field label’ y ‘description field label’. Un atacante autenticado, con nivel de administrador, puede aprovechar esta vulnerabilidad para inyectar scripts web arbitrarios en las páginas del sitio. Estos scripts se ejecutarán cada vez que un usuario acceda a una página infectada.
Es importante destacar que esta vulnerabilidad solo afecta a instalaciones multisitio y a instalaciones donde se ha deshabilitado la opción ‘unfiltered_html’ de WordPress. Sin embargo, en la configuración de Formidable Forms, los administradores pueden otorgar permisos de creación, eliminación y gestión de formularios a otros tipos de usuarios, lo que amplía el alcance de explotación de esta vulnerabilidad para tipos de usuario de nivel inferior que han recibido los permisos adecuados.
Para mitigar este problema de seguridad, se recomienda actualizar el plugin a la última versión disponible (6.8 o superior) tan pronto como sea posible. Además, se aconseja tener precaución al otorgar permisos de gestión de formularios a otros usuarios y realizar una auditoría de seguridad en busca de posibles inyecciones de scripts maliciosos. Por último, se sugiere implementar filtros y validaciones de entrada adecuados en los campos de formularios para evitar la ejecución de scripts no deseados.
La vulnerabilidad de Cross-Site Scripting almacenada en el plugin Formidable Forms para WordPress pone en riesgo la seguridad de los sitios que lo utilizan. Es fundamental que los administradores actualicen el plugin a la versión más reciente y sigan buenas prácticas de seguridad, como la gestión adecuada de los permisos de los usuarios y la validación de entrada de los formularios. Al tomar estas medidas, se reducirá significativamente el riesgo de explotación de esta vulnerabilidad y se mantendrá la integridad y seguridad del sitio.