El plugin Formidable Forms – Contact Form Plugin, Survey, Quiz, Payment, Calculator Form & Custom Form Builder para WordPress es vulnerable a un tipo de ataque de Cross-Site Scripting almacenado que puede ser aprovechado por atacantes autenticados con permisos de edición de formularios y nivel de acceso de Suscriptor o superior.
La vulnerabilidad CVE-2024-6725 se debe a una insuficiente sanitización de la entrada y escape de la salida en el parámetro ‘html’ en todas las versiones hasta la 6.11.1. Esto permite a los atacantes inyectar scripts web arbitrarios en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin Formidable Forms a la última versión disponible y seguir buenas prácticas de seguridad como limitar los permisos de edición de formularios y restringir el acceso a usuarios confiables.