El plugin Contact Form de Fluent Forms para Quiz, Encuestas y Constructor de Formularios WP con arrastrar y soltar es vulnerable a la modificación no autorizada de datos debido a la falta de verificación de capacidades en el punto final /wp-json/fluentform/v1/global-settings API REST en todas las versiones hasta, e incluyendo, la 5.1.16. Esto permite a atacantes no autenticados modificar todos los ajustes del plugin.
La vulnerabilidad identificada con el ID CVE-2024-2782 se origina en la falta de autorización en la manipulación de ajustes del plugin de formularios de contacto. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar la versión del plugin a la más reciente disponible. Adicionalmente, se sugiere restringir el acceso al endpoint /wp-json/fluentform/v1/global-settings API REST para usuarios no autenticados y mantener un monitoreo constante de posibles cambios o actividad sospechosa en los ajustes del plugin.
Es fundamental para los usuarios de WordPress mantener sus plugins actualizados y tomar medidas preventivas para protegerse contra posibles vulnerabilidades. En el caso del plugin Contact Form de Fluent Forms, la falta de autorización en la manipulación de ajustes representa un riesgo para la integridad de los datos. Al seguir las recomendaciones de actualización y seguridad mencionadas, los usuarios pueden reducir la exposición a ataques y mantener la integridad de sus sitios web.