Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder <= 5.1.15 - PHP Object Injection via extractDynamicValues

Resumen ejecutivo

Se ha detectado una vulnerabilidad crítica en el plugin Contact Form by Fluent Forms, específicamente en las versiones hasta 5.1.15. Esta vulnerabilidad permite la inyección de objetos PHP a través de la función extractDynamicValues.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los valores dinámicos, lo que permite a un atacante enviar datos manipulados que pueden ser procesados como objetos PHP. Esto se traduce en un potencial acceso no autorizado y ejecución de código en el servidor.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que puede comprometer la integridad y confidencialidad de los datos del sitio web. Un atacante podría ejecutar código malicioso, afectando la reputación del negocio y la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando formularios con datos manipulados que desencadenan la vulnerabilidad en la función vulnerable, permitiendo así la ejecución de código no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 5.1.16 o superior. Además, se debe realizar una revisión de los registros de actividad para detectar cualquier intento de explotación.

Señales de detección

Señales de riesgo incluyen actividad inusual en los registros de formularios, intentos de envío de datos no válidos o errores relacionados con la ejecución de código PHP en el servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.1.16 del plugin Fluent Forms.