El plugin Interactive Contact Form and Multi Step Form Builder with Drag & Drop Editor – Funnelforms Free para WordPress es vulnerable a la pérdida no autorizada de datos debido a la falta de verificación de capacidad en la acción af2_handel_file_remove AJAX en todas las versiones hasta, e incluyendo, 3.7.3.2. Esto permite que atacantes no autenticados eliminen archivos de medios arbitrarios.
La falta de autorización en el plugin Funnelforms Free <= 3.7.3.2 puede tener graves consecuencias, ya que un atacante sin autenticar podría eliminar archivos multimedia importantes del sitio web. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la versión más reciente disponible. Además, es importante mantener siempre todos los plugins, temas y la propia plataforma de WordPress actualizados para reducir la exposición a vulnerabilidades conocidas.
Dado que la vulnerabilidad CVE-2024-5857 en Funnelforms Free <= 3.7.3.2 puede ser aprovechada por atacantes no autenticados, es fundamental tomar medidas proactivas para proteger la integridad de los datos de su sitio web. Mantenerse al día con las actualizaciones de seguridad y seguir buenas prácticas de gestión de plugins puede ayudar a prevenir posibles ataques.