Forminator 1.5.4

Varias vulnerabilidades consideradas de nivel alto se han encontrado en el plugin para la gestión de formulario Forminator, entre ellos ataques de scripting, a la base de datos, tab-napping o inyección CSV.

Para comenzar, el ataque XSS permitía incluir cualquier tipo de script dentro de los campos personalizados, que posteriormente se mostrarían a los usuarios.

Por otro lado, con una consulta válida y un nonce válido, se podría llegar a hacer una llamada en la que se eliminasen contenidos directamente de la base de datos sin permiso.

Además de esto, también podemos encontrar ataques XSS simplemente con el nombre del fichero a subir, o la posibilidad de acceder a dos pestañas simultáneamente, e incluso ataques mediante los contenidos de los ficheros CSV.

Sin duda una serie de elementos que ya están corregidos peque que ponían en graves problemas a los propietarios y usuarios de los sitios que lo utilizan.

WPVDB ID: 9215

Deja un comentario