{"id":2590,"date":"2024-01-08T16:55:32","date_gmt":"2024-01-08T16:55:32","guid":{"rendered":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/"},"modified":"2024-01-08T16:55:32","modified_gmt":"2024-01-08T16:55:32","slug":"metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery","status":"publish","type":"post","link":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/","title":{"rendered":"Metform Elementor Contact Form Builder &lt;= 3.8.1 &#8211; Cross-Site Request Forgery"},"content":{"rendered":"<div>El complemento Metform Elementor Contact Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.8.1. Esto se debe a la falta o validaci\u00f3n incorrecta de nonce en la funci\u00f3n de contenidos. Esto permite a atacantes no autenticados actualizar las opciones &#8216;mf_hubsopt_token&#8217;, &#8216;mf_hubsopt_refresh_token&#8217;, &#8216;mf_hubsopt_token_type&#8217; y &#8216;mf_hubsopt_expires_in&#8217; a trav\u00e9s de una solicitud falsificada, siempre y cuando puedan enga\u00f1ar a un administrador del sitio para realizar una acci\u00f3n como hacer clic en un enlace. Esto permitir\u00eda a un atacante conectar su propia cuenta de Hubspot al metform del sitio de la v\u00edctima para obtener clientes potenciales y contactos.<\/div>\n<p><\/p>\n<div>El complemento Metform Elementor Contact Form Builder para WordPress presenta una vulnerabilidad de Cross-Site Request Forgery (CSRF). Esto significa que un atacante no autenticado podr\u00eda aprovechar esta vulnerabilidad para realizar cambios en las opciones del complemento mediante una solicitud falsificada. Para mitigar este problema, se recomienda a los usuarios tomar las siguientes medidas de seguridad:<\/p>\n<p>1. Actualizar a la \u00faltima versi\u00f3n: Los desarrolladores del complemento Metform Elementor Contact Form Builder han lanzado una actualizaci\u00f3n que soluciona esta vulnerabilidad. Se recomienda a los usuarios actualizar a la versi\u00f3n m\u00e1s reciente para asegurarse de que su sitio no sea vulnerable.<br \/>\n2. Educaci\u00f3n sobre la ingenier\u00eda social: Es fundamental que los administradores del sitio y los usuarios en general est\u00e9n al tanto de las t\u00e1cticas de ingenier\u00eda social utilizadas por los atacantes para enga\u00f1ar a las personas y realizar acciones no deseadas en su nombre. Al estar informados, los usuarios podr\u00e1n detectar y evitar situaciones de riesgo.<br \/>\n3. Configuraci\u00f3n de permisos adecuados: Es importante revisar y configurar los permisos de usuario adecuados en WordPress. Esto limitar\u00e1 las acciones que los usuarios no autorizados pueden realizar en su sitio.<br \/>\n4. Uso de complementos de seguridad: Considerar la instalaci\u00f3n de complementos de seguridad confiables que ayuden a proteger su sitio de amenazas como Cross-Site Request Forgery (CSRF) y otros tipos de ataques comunes.<\/p>\n<p>Al seguir estas soluciones, los usuarios pueden mitigar el riesgo de ser v\u00edctimas de ataques de Cross-Site Request Forgery (CSRF) en el complemento Metform Elementor Contact Form Builder para WordPress.<\/p><\/div>\n<div>La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Metform Elementor Contact Form Builder para WordPress puede permitir a atacantes no autenticados realizar cambios en las opciones del complemento mediante solicitudes falsificadas. Para proteger su sitio, se recomienda actualizar el complemento a la \u00faltima versi\u00f3n, estar atento a las t\u00e1cticas de ingenier\u00eda social utilizadas por los atacantes, configurar los permisos adecuados y considerar la instalaci\u00f3n de complementos de seguridad confiables. Al tomar estas medidas, los usuarios pueden reducir el riesgo de ser v\u00edctimas de este tipo de ataques.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>El complemento Metform Elementor Contact Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.8.1. Esto se debe a la falta o validaci\u00f3n incorrecta de nonce en la funci\u00f3n de contenidos. Esto permite a atacantes no autenticados actualizar las opciones &#8216;mf_hubsopt_token&#8217;, &#8216;mf_hubsopt_refresh_token&#8217;, &#8216;mf_hubsopt_token_type&#8217; y &#8216;mf_hubsopt_expires_in&#8217; [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[342],"class_list":["post-2590","post","type-post","status-publish","format-standard","hentry","category-uncategorized","tag-cve-2023-6788"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.8 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es\" \/>\n<meta property=\"og:description\" content=\"El complemento Metform Elementor Contact Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.8.1. Esto se debe a la falta o validaci\u00f3n incorrecta de nonce en la funci\u00f3n de contenidos. Esto permite a atacantes no autenticados actualizar las opciones &#8216;mf_hubsopt_token&#8217;, &#8216;mf_hubsopt_refresh_token&#8217;, &#8216;mf_hubsopt_token_type&#8217; y &#8216;mf_hubsopt_expires_in&#8217; [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/\" \/>\n<meta property=\"og:site_name\" content=\"SeguridadWordPress.es\" \/>\n<meta property=\"article:published_time\" content=\"2024-01-08T16:55:32+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data1\" content=\"2 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/\",\"url\":\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/\",\"name\":\"Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es\",\"isPartOf\":{\"@id\":\"http:\/\/127.0.0.1\/#website\"},\"datePublished\":\"2024-01-08T16:55:32+00:00\",\"dateModified\":\"2024-01-08T16:55:32+00:00\",\"author\":{\"@id\":\"\"},\"breadcrumb\":{\"@id\":\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/127.0.0.1\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Metform Elementor Contact Form Builder &lt;= 3.8.1 &#8211; Cross-Site Request Forgery\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/127.0.0.1\/#website\",\"url\":\"http:\/\/127.0.0.1\/\",\"name\":\"SeguridadWordPress.es\",\"description\":\"Recopilaci\u00f3n de vulnerabilidades WordPress.\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/127.0.0.1\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"en-US\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/","og_locale":"en_US","og_type":"article","og_title":"Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es","og_description":"El complemento Metform Elementor Contact Form Builder para WordPress es vulnerable a Cross-Site Request Forgery (CSRF) en todas las versiones hasta, e incluyendo, la 3.8.1. Esto se debe a la falta o validaci\u00f3n incorrecta de nonce en la funci\u00f3n de contenidos. Esto permite a atacantes no autenticados actualizar las opciones &#8216;mf_hubsopt_token&#8217;, &#8216;mf_hubsopt_refresh_token&#8217;, &#8216;mf_hubsopt_token_type&#8217; y &#8216;mf_hubsopt_expires_in&#8217; [&hellip;]","og_url":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/","og_site_name":"SeguridadWordPress.es","article_published_time":"2024-01-08T16:55:32+00:00","twitter_card":"summary_large_image","twitter_misc":{"Est. reading time":"2 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/","url":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/","name":"Metform Elementor Contact Form Builder &lt;= 3.8.1 - Cross-Site Request Forgery - SeguridadWordPress.es","isPartOf":{"@id":"http:\/\/127.0.0.1\/#website"},"datePublished":"2024-01-08T16:55:32+00:00","dateModified":"2024-01-08T16:55:32+00:00","author":{"@id":""},"breadcrumb":{"@id":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/127.0.0.1\/metform-elementor-contact-form-builder-3-8-1-cross-site-request-forgery\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/127.0.0.1\/"},{"@type":"ListItem","position":2,"name":"Metform Elementor Contact Form Builder &lt;= 3.8.1 &#8211; Cross-Site Request Forgery"}]},{"@type":"WebSite","@id":"http:\/\/127.0.0.1\/#website","url":"http:\/\/127.0.0.1\/","name":"SeguridadWordPress.es","description":"Recopilaci\u00f3n de vulnerabilidades WordPress.","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/127.0.0.1\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"en-US"}]}},"amp_enabled":true,"_links":{"self":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2590"}],"collection":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/comments?post=2590"}],"version-history":[{"count":0,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/posts\/2590\/revisions"}],"wp:attachment":[{"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/media?parent=2590"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/categories?post=2590"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/127.0.0.1\/wp-json\/wp\/v2\/tags?post=2590"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}