Contact Form builder with drag & drop - Kali Forms <= 2.3.28 - Missing Authorization via get_log

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Kali Forms, que afecta a las versiones hasta la 2.3.28. Esta falla permite a los atacantes acceder a registros sin la debida autorización, lo que puede comprometer la seguridad de la información del usuario.

Contexto técnico

La vulnerabilidad se origina en la falta de controles de autorización adecuados en la función 'get_log' del plugin Kali Forms. Esto permite que usuarios no autorizados puedan acceder a registros sensibles, lo que representa una superficie de ataque significativa para la explotación.

Impacto potencial

El impacto de esta vulnerabilidad puede ser considerable, ya que permite a un atacante acceder a información de contacto y otros datos sensibles que pueden ser utilizados para actividades maliciosas, afectando la confianza del usuario y la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a la función vulnerable, lo que les permite obtener registros sin la autorización necesaria. La explotación requiere un conocimiento básico de cómo interactuar con el plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Kali Forms a la versión 2.3.29 o superior. Además, se sugiere revisar las configuraciones de permisos y realizar auditorías de seguridad periódicas.

Señales de detección

Señales de riesgo incluyen accesos no autorizados a registros, cambios inusuales en la base de datos relacionados con el plugin y alertas de seguridad en los logs del servidor.

Alcance afectado

Las versiones afectadas son todas las versiones de Kali Forms hasta la 2.3.28. Las instalaciones que no han sido actualizadas a la versión 2.3.29 están en riesgo.