Contact Form builder with drag & drop - Kali Forms <= 2.3.36 - Insecure Direct Object Reference

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Kali Forms, que afecta a las versiones hasta la 2.3.36. Esta falla permite el acceso no autorizado a objetos directos, lo que podría comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se origina en la falta de controles adecuados de acceso en el manejo de objetos. Esto permite a un atacante manipular las solicitudes para acceder a datos sensibles que no deberían estar disponibles, afectando así la integridad de la información gestionada por el plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a información sensible o realizar acciones no autorizadas en el contexto del usuario. Esto podría resultar en la filtración de datos o en la alteración de formularios, afectando la confianza de los usuarios y la reputación del negocio.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad manipulando las solicitudes HTTP para acceder a recursos que no están correctamente protegidos. Esto se puede realizar sin necesidad de autenticación, lo que incrementa el riesgo.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Kali Forms a la versión 2.3.37 o superior. Además, es aconsejable revisar los permisos de acceso a los objetos y aplicar controles adicionales para validar las solicitudes.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a datos sensibles, cambios inesperados en formularios o registros de actividad inusuales que indiquen manipulaciones de solicitudes.

Alcance afectado

Las versiones del plugin Kali Forms hasta la 2.3.36 están afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen su versión y realicen la actualización necesaria.