La vulnerabilidad CVE-2024-9700 en el plugin Forminator Forms de WordPress permite a atacantes no autenticados modificar envíos de cuestionarios de otros usuarios, debido a la falta de validación en la clave ‘entry_id’.
El plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a Referencia Directa a Objeto Insegura en todas las versiones hasta, e incluyendo, 1.36.0 a través de la función submit_quizzes() debido a la falta de validación en la clave ‘entry_id’ controlada por el usuario. Esto permite a atacantes no autenticados modificar los envíos de cuestionarios de otros usuarios.
Se recomienda a los usuarios de Forminator Forms actualizar a la última versión disponible para mitigar esta vulnerabilidad y asegurar la integridad de los datos de los cuestionarios.