WordPress: bug del plugin Forminator colpisce oltre 300.000 siti

Il plugin Forminator, utilizzato in oltre 500.000 siti WordPress è vulnerabile a un difetto critico. Questo consente agli autori malintenzionati di eseguire caricamenti di file sul server senza restrizioni. Sviluppato da WPMU DEV tale plugin è un generatore personalizzato di contatti, feedback, quiz, sondaggi/sondaggi e moduli di pagamento per siti WordPress. Inoltre, offre funzionalità di trascinamento della selezione, ampie integrazioni di terze parti e versatilità generale. Il CERT del Giappone ha pubblicato un avviso sul suo portale delle note di vulnerabilità (JVN) avvertendo dell'esistenza di un difetto di gravità critica (CVE-2024-28890, CVSS v3: 9.8) in Forminator. Questo potrebbe consentire a un utente malintenzionato remoto di caricare malware sui siti utilizzando il plugin. Come riportato sul sito JVN: “Un utente malintenzionato remoto può ottenere informazioni sensibili accedendo ai file sul server, alterare il sito che utilizza il plugin e causare una condizione di negazione del servizio (DoS)”.

WordPress: aggiornare Forminator alla versione 1.29.3

Il bollettino sulla sicurezza di JPCERT ha elencato tre vulnerabilità legate a Forminator. La prima è tracciata come CVE-2024-28890 e riguarda la convalida insufficiente dei file durante il caricamento dei file. Questa consente a un utente malintenzionato remoto di caricare ed eseguire file dannosi sul server del sito e può colpire Forminator 1.29.0 e versioni precedenti. La seconda è tracciata come CVE-2024-31077. Si tratta di un difetto di SQL injection che consente agli aggressori remoti con privilegi di amministratore di eseguire query SQL arbitrarie nel database del sito. Tale vulnerabilità colpisce Forminator 1.29.3 e versioni precedenti. L’ultima è tracciata come CVE-2024-31857. Si tratta di un difetto di cross-site scripting (XSS) che consente a un utente malintenzionato remoto di eseguire codice HTML e script arbitrario nel browser di un utente se indotto con l'inganno a seguire un collegamento appositamente predisposto. Questo bug colpisce Forminator 1.15.4 e versioni precedenti.

Per evitare problemi, gli amministratori dei siti che utilizzano Forminator devono aggiornare il plugin alla versione 1.29.3, che risolve tutti e tre i difetti. Le statistiche di WordPress.org mostrano che dal rilascio dell'aggiornamento di sicurezza l'8 aprile 2024, il plugin è stato scaricato 180.000 volte. Supponendo che tutti i download riguardino l'ultima versione, ci sono ancora 320.000 siti che rimangono vulnerabili agli attacchi. Ad oggi, non ci sono state segnalazioni pubbliche di sfruttamento attivo di CVE-2024-28890. Tuttavia, a causa della gravità del difetto e dei semplici requisiti da soddisfare per sfruttarlo, il rischio che gli amministratori posticipino l'aggiornamento è elevato. Per ridurre al minimo la superficie di attacco sui siti WordPress basta seguire alcune semplici regole. In primis è necessario usare meno plugin possibili, aggiornare sempre tali plugin alla versione più recente e, infine, disattivare i plugin che non vengono utilizzati o che non sono necessari.