Metform Elementor Contact Form Builder <= 3.4.0 - Missing Authorization via submit

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin Metform Elementor Contact Form Builder, que afecta a las versiones hasta la 3.4.0. Esta falla puede permitir a usuarios no autorizados enviar formularios sin las debidas verificaciones de seguridad.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización al enviar formularios. Esto permite que un atacante pueda realizar envíos sin estar autenticado, lo que compromete la integridad de los datos manejados por el plugin.

Impacto potencial

El impacto puede ser considerable, ya que permite a un atacante enviar formularios de contacto, lo que podría resultar en spam, suplantación de identidad o incluso la recolección de información sensible de los usuarios. Esto podría dañar la reputación del negocio y comprometer la seguridad de los datos.

Vector de explotación

El vector de explotación típico implica que un atacante envíe solicitudes maliciosas al endpoint del formulario, eludiendo los controles de autorización establecidos, lo que puede llevar a la ejecución de acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Metform Elementor Contact Form Builder a la versión 3.4.1 o superior. Además, se sugiere implementar medidas adicionales de validación y autenticación en los formularios.

Señales de detección

Señales de riesgo incluyen un aumento inusual en la actividad de envío de formularios, registros de intentos de envío por parte de usuarios no autenticados y alertas de spam en los formularios de contacto.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.4.1 del plugin Metform Elementor Contact Form Builder.