El plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a Ataques de Falsificación de Petición en Sitios Cruzados (CSRF) en todas las versiones hasta, e incluyendo, la 1.35.1.
Esto se debe a la validación de nonce faltante o incorrecta en la función ‘create_module’ de los quizzes. Esto hace posible que atacantes no autenticados creen quizzes en borrador a través de una petición falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para protegerse contra este tipo de ataque, se recomienda a los usuarios actualizar el plugin Forminator Forms a la última versión disponible y estar atentos a posibles actividades sospechosas en sus sitios WordPress.