Fuente base de datos: Wordfence Intelligence

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf_thankyou shortcode

PLUGIN MEDIUM CVE-2023-0688

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de divulgación de información en el plugin Metform Elementor Contact Form Builder, que afecta a las versiones hasta la 3.3.1. Esta vulnerabilidad permite que los usuarios autenticados con rol de suscriptor o superior accedan a información sensible a través del shortcode mf_thankyou.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de la información que se expone mediante el shortcode mf_thankyou. Esto permite a los usuarios autenticados, que deberían tener acceso restringido, obtener datos que no deberían ser visibles, lo que representa un riesgo de seguridad para la integridad de la información en el sitio.

Impacto potencial

El impacto de esta vulnerabilidad puede ser medio, ya que podría permitir a un suscriptor acceder a información sensible que podría ser utilizada para ataques adicionales, comprometiendo la seguridad del sitio y la privacidad de los usuarios. Esto podría resultar en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante la inserción del shortcode mf_thankyou en una página o publicación accesible para el usuario autenticado, lo que permite la divulgación de información sensible sin las debidas restricciones.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Metform Elementor Contact Form Builder a la versión 3.3.2 o superior. Además, se sugiere revisar los permisos de usuario y restringir el acceso a información sensible en el shortcode afectado.

Señales de detección

Las señales de riesgo incluyen accesos inusuales a información sensible por parte de usuarios con rol de suscriptor, así como la aparición de logs que indiquen el uso del shortcode mf_thankyou por usuarios no autorizados.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Metform Elementor Contact Form Builder hasta la 3.3.1. La vulnerabilidad ha sido corregida en la versión 3.3.2, publicada el 8 de junio de 2023.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_first_name' shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_transaction_id' shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via 'mf_payment_status' shortcode

MEDIUM PLUGIN

metform

Metform Elementor Contact Form Builder <= 3.3.1 - Authenticated (Subscriber+) Information Disclosure via mf_last_name shortcode

HIGH PLUGIN

metform

Metform Elementor Contact Form Builder <= 2.1.3 - Sensitive Information Disclosure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto