Recentemente, o CERT do Japão publicou um alerta informando que uma falha do plugin Forminator afeta mais de 300 mil sites WordPress.
Forminator da WPMU DEV é um criador de contato personalizado, feedback, questionários, pesquisas/enquetes e formulários de pagamento para sites WordPress que oferece funcionalidade de arrastar e soltar, amplas integrações de terceiros e versatilidade geral.
Na quinta-feira, o CERT do Japão publicou um alerta em seu portal de notas de vulnerabilidade (JVN) alertando sobre a existência de uma falha de gravidade crítica (CVE-2024-28890, CVSS v3: 9.8) no Forminator que pode permitir que um invasor remoto carregue malware em sites usando o plug-in.
Falha do plugin Forminator afeta mais de 300 mil sites WordPress
Sim. Uma falha do plugin Forminator afeta mais de 300 mil sites WordPress. O plugin Forminator WordPress usado em mais de 500.000 sites é vulnerável a uma falha que permite que agentes mal-intencionados realizem uploads irrestritos de arquivos para o servidor.
“Um invasor remoto pode obter informações confidenciais acessando arquivos no servidor, alterando o site que usa o plugin e causando uma condição de negação de serviço (DoS).” -JVN
O boletim de segurança do JPCERT lista as três vulnerabilidades a seguir:
- CVE-2024-28890 – Validação insuficiente de arquivos durante o upload de arquivos, permitindo que um invasor remoto carregue e execute arquivos maliciosos no servidor do site. Impacta o Forminator 1.29.0 e versões anteriores.
- CVE-2024-31077 – Falha de injeção de SQL que permite que invasores remotos com privilégios de administrador executem consultas SQL arbitrárias no banco de dados do site. Impacta o Forminator 1.29.3 e anteriores.
- CVE-2024-31857 – Falha de script entre sites (XSS) que permite que um invasor remoto execute HTML arbitrário e código de script no navegador de um usuário se for enganado a seguir um link especialmente criado. Impacta o Forminator 1.15.4 e versões anteriores.
Os administradores do site que usam o plugin Forminator são aconselhados a atualizar o plugin para a versão 1.29.3, que corrige todas as três falhas, o mais rápido possível.
As estatísticas do WordPress.org mostram que desde o lançamento da atualização de segurança em 8 de abril de 2024, cerca de 180.000 administradores de sites baixaram o plugin.
Supondo que todos os downloads digam respeito à versão mais recente, ainda existem 320 mil sites que permanecem vulneráveis a ataques.
No momento em que este artigo foi escrito, não houve relatos públicos de exploração ativa do CVE-2024-28890, mas devido à gravidade da falha e aos requisitos fáceis de cumprir para aproveitá-la, o risco para os administradores adiarem a atualização é alto.
Para minimizar a superfície de ataque em sites WordPress, use o mínimo de plug-ins possível, atualize para a versão mais recente o mais rápido possível e desative plug-ins que não são usados/necessários ativamente.