Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker en versiones anteriores a la 1.14.12. Esta falla puede permitir a un atacante inyectar scripts maliciosos en el contenido almacenado.
Fuente base de datos: Wordfence Intelligence
Form Maker <= 1.14.11 - Stored Cross-Site Scripting
PLUGIN
MEDIUM
CVE-2022-1564
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la forma en que el plugin gestiona y sanitiza los datos introducidos por los usuarios. Al no validar adecuadamente el contenido, se permite la inyección de código JavaScript, lo que puede afectar a otros usuarios que visualicen el contenido comprometido.
Impacto potencial
La explotación de esta vulnerabilidad puede comprometer la seguridad de los usuarios finales, permitiendo el robo de información sensible o la ejecución de acciones no autorizadas en sus cuentas. Esto podría resultar en daños a la reputación del negocio y posibles pérdidas económicas.
Vector de explotación
Los atacantes suelen aprovechar esta vulnerabilidad mediante la inserción de scripts maliciosos en formularios que son posteriormente visualizados por otros usuarios, lo que permite la ejecución del código en sus navegadores.
Mitigación recomendada
Actualizar el plugin Form Maker a la versión 1.14.12 o superior. Además, se recomienda revisar las configuraciones de seguridad del sitio y aplicar prácticas de hardening como la validación de entradas y la sanitización de datos.
Señales de detección
Señales de posible explotación incluyen reportes de comportamientos inusuales en los formularios, quejas de usuarios sobre contenido extraño o redirecciones no autorizadas al navegar por el sitio.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 1.14.12 del plugin Form Maker.
Vulnerabilidades relacionadas
HIGH
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via Hidden Field
HIGH
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via SVG file
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.33 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.31 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.29 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.29 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.32 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.32 - Authenticated (Admin+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto