Fuente base de datos: Wordfence Intelligence

NEX-Forms – Ultimate Form Builder – Contact forms and much more <= 8.5.6 - Missing Authorization via set_starred()

PLUGIN MEDIUM CVE-2024-1129

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autorización en el plugin NEX-Forms – Ultimate Form Builder, que afecta a las versiones hasta la 8.5.6. Esta vulnerabilidad podría permitir a un atacante no autorizado modificar el estado de los formularios.

Contexto técnico

El fallo se origina en la función set_starred(), que no implementa correctamente las verificaciones de autorización. Esto permite que usuarios no autenticados puedan modificar la propiedad 'starred' de los formularios, comprometiendo así la integridad de los datos.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante manipular formularios, lo que podría resultar en la alteración de información crítica o en la desfiguración de la presentación de los formularios. Esto podría afectar la confianza del usuario y la reputación del negocio.

Vector de explotación

Generalmente, la vulnerabilidad se explota mediante solicitudes HTTP manipuladas que invocan la función set_starred() sin la debida autorización, permitiendo cambios no deseados en los formularios.

Mitigación recomendada

Actualizar el plugin NEX-Forms a la versión 8.5.7 o posterior. Además, se recomienda revisar las configuraciones de seguridad y acceso de los formularios para asegurar que solo los usuarios autorizados puedan realizar cambios.

Señales de detección

Se pueden detectar intentos de explotación mediante registros de acceso que muestren solicitudes inusuales a la función set_starred() o cambios inesperados en el estado de los formularios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 8.5.7 del plugin NEX-Forms – Ultimate Form Builder.