Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder <= 2.15.2 - Authenticated (Administrator+) Improper Input Validation via iconUpload Function to Arbitrary File Read

Resumen ejecutivo

Se ha identificado una vulnerabilidad de validación inadecuada de entradas en el plugin 'Contact Form by Bit Form' en versiones anteriores a la 2.15.3. Esta falla permite a un administrador autenticado leer archivos arbitrarios del servidor.

Contexto técnico

La vulnerabilidad se origina en la función 'iconUpload' del plugin, donde no se valida correctamente la entrada del usuario. Esto permite que un atacante con privilegios de administrador pueda acceder a archivos del sistema que no deberían ser accesibles.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la exposición de información sensible del servidor, lo que podría comprometer la seguridad general del sitio y afectar la confianza de los usuarios.

Vector de explotación

Generalmente, la explotación se realiza mediante la manipulación de la función 'iconUpload' para cargar rutas de archivos no autorizadas, permitiendo así el acceso a datos críticos del servidor.

Mitigación recomendada

Actualizar el plugin 'Contact Form by Bit Form' a la versión 2.15.3 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de seguridad adicionales en la configuración del servidor.

Señales de detección

Señales de riesgo incluyen registros de acceso inusuales a archivos del servidor y cualquier intento de carga de archivos desde la interfaz de administración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.15.3 del plugin 'Contact Form by Bit Form'.