Una grave vulnerabilità nel plugin Forminator di WordPress, utilizzato in oltre 500.000 siti, minaccia la sicurezza permettendo il caricamento di file non restrittivi. Questo difetto espone numerosi siti a potenziali attacchi informatici, con il rischio di manipolazione dei dati e di attacchi di tipo denial-of-service (DoS).
Cos’è Forminator?
Forminator è un plugin per WordPress che permette di creare facilmente moduli di contatto, sondaggi, quiz e moduli di pagamento. Questo plugin è particolarmente apprezzato per la sua facilità d’uso e per le sue ampie funzionalità, che lo rendono adatto a qualsiasi sito web e situazione. Forminator offre un’interfaccia drag-and-drop (trascina e rilascia), che facilita la creazione di moduli personalizzati senza la necessità di scrivere codice.
Alcune delle caratteristiche principali di Forminator includono:
- Creazione di moduli: Puoi creare moduli di contatto, moduli di iscrizione, moduli di pagamento, e molto altro.
- Integrazioni: Forminator si integra facilmente con altri servizi come PayPal e Stripe per i pagamenti, oltre a Mailchimp, Slack, e altri per l’automazione del marketing e le notifiche.
- Responsività: I moduli creati con Forminator sono completamente responsivi, il che significa che funzionano bene su dispositivi mobili, tablet e desktop.
- Sicurezza: Forminator include funzioni per proteggere i moduli da spam e abusi, come la validazione CAPTCHA e la protezione Google ReCAPTCHA.
Inoltre, Forminator è disponibile sia in una versione gratuita che Pro, quest’ultima offerta da WPMU DEV con funzionalità aggiuntive per gli utenti che necessitano di opzioni più avanzate e supporto. Questo plugin è quindi una soluzione ideale per gli utenti di WordPress che desiderano migliorare l’interazione con i visitatori del loro sito attraverso moduli interattivi e personalizzabili. Per saperne di più, visita il sito ufficiale di Forminator su WordPress.org o la pagina di Forminator Pro su WPMU DEV.
Dettagli della vulnerabilità
Il CERT del Giappone ha rilasciato un avviso giovedì scorso attraverso il suo portale di note sulla vulnerabilità (JVN), segnalando un difetto di gravità critica (CVE-2024-28890, CVSS v3: 9.8) nel plugin Forminator. Questo difetto permette agli attaccanti di caricare malware sui siti che utilizzano il plugin, con la possibilità di accedere a informazioni sensibili, modificare i contenuti del sito o causare condizioni di DoS.
Tre vulnerabilità identificate
CVE-2024-28890 – Validazione insufficiente durante il caricamento di file, permettendo l’upload e l’esecuzione di file maligni sul server del sito. Colpisce le versioni di Forminator fino alla 1.29.0.
CVE-2024-31077 – Difetto di SQL injection che consente agli attaccanti con privilegi di amministratore di eseguire query SQL arbitrarie nel database del sito. Colpisce le versioni fino alla 1.29.3.
CVE-2024-31857 – Difetto di Cross-site scripting (XSS) che consente agli attaccanti di eseguire codice HTML e script arbitrari nel browser di un utente se indotti a seguire un link appositamente predisposto. Colpisce le versioni fino alla 1.15.4.
Aggiornamenti e raccomandazioni
Gli amministratori dei siti che utilizzano il plugin Forminator sono invitati ad aggiornare alla versione 1.29.3, che risolve tutte e tre le vulnerabilità, il prima possibile. Nonostante l’aggiornamento sia stato rilasciato l’8 aprile 2024, circa 320.000 siti rimangono esposti dato che soltanto 180.000 amministratori hanno scaricato l’aggiornamento.
