Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker en versiones hasta la 1.15.27. Esta falla permite a administradores autenticados inyectar scripts maliciosos en el sistema.
Fuente base de datos: Wordfence Intelligence
Form Maker <= 1.15.27 - Authenticated (Administrator+) Stored Cross-Site Scripting
PLUGIN
MEDIUM
CVE-2024-8633
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se presenta en la gestión de entradas del plugin, donde no se realiza una adecuada validación y sanitización de los datos introducidos por el usuario. Esto permite la inyección de scripts que pueden ser ejecutados en el navegador de otros usuarios, comprometiendo la seguridad de la aplicación.
Impacto potencial
El impacto potencial incluye la posibilidad de que un atacante inyecte código malicioso, lo que podría llevar al robo de información sensible, suplantación de identidad o manipulación de datos. Esto podría afectar la confianza de los usuarios y la reputación del negocio.
Vector de explotación
La explotación de esta vulnerabilidad suele llevarse a cabo mediante la creación de formularios que incluyan scripts maliciosos, los cuales son ejecutados cuando otros administradores o usuarios acceden a las páginas afectadas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.15.28 o superior. Además, se debe implementar una revisión regular de los plugins instalados y aplicar prácticas de codificación segura para evitar inyecciones de scripts.
Señales de detección
Señales que pueden indicar riesgo incluyen la presencia de scripts no autorizados en las entradas de formularios o comportamientos inusuales en la interacción de los usuarios con el sistema.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 1.15.28 del plugin Form Maker. Todas las instalaciones que utilicen estas versiones están en riesgo.
Vulnerabilidades relacionadas
HIGH
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via Hidden Field
HIGH
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via SVG file
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.33 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.31 - Authenticated (Administrator+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.29 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.29 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.32 - Authenticated (Admin+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
form-maker
Form Maker by 10Web <= 1.15.32 - Authenticated (Admin+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto