El plugin Interactive Contact Form and Multi Step Form Builder with Drag & Drop Editor – Funnelforms Free para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función ‘fnsf_af2_handel_file_upload’ en todas las versiones hasta, e incluyendo, la 3.7.3.2. Esto permite a atacantes no autenticados subir medios arbitrarios al sitio, incluso si no existen formularios.
La falta de autorización en el plugin Funnelforms Free puede ser explotada por atacantes no autenticados para subir cualquier tipo de archivo al sitio web, lo que puede resultar en la inserción de contenido malicioso o comprometido. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible tan pronto como sea posible. Además, se debe monitorear de cerca cualquier actividad sospechosa en el sitio web y restringir el acceso a la función ‘fnsf_af2_handel_file_upload’ solo a usuarios autorizados.
Es crucial para la seguridad de su sitio web que los usuarios apliquen las actualizaciones relevantes de los plugins y temas de WordPress de manera oportuna. Al tomar estas medidas preventivas, se puede reducir significativamente el riesgo de que los atacantes aprovechen vulnerabilidades conocidas para comprometer la integridad de su sitio.