Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.35.1 - Cross-Site Request Forgery to Draft Custom Form Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Forminator Forms, que afecta a versiones hasta la 1.35.1. Esta vulnerabilidad permite la creación no autorizada de formularios personalizados.

Contexto técnico

El fallo se origina en la falta de validación adecuada de las solicitudes en el plugin, lo que permite a un atacante enviar peticiones maliciosas que pueden ser ejecutadas en el contexto de un usuario autenticado. La superficie de ataque se centra en las interacciones con el sistema de formularios del plugin.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante crear formularios personalizados sin el consentimiento del administrador del sitio, lo que podría comprometer la integridad de los datos y la confianza del usuario en el sitio web.

Vector de explotación

Generalmente, los atacantes pueden enviar un enlace malicioso a un usuario autenticado, induciéndolo a hacer clic y, a su vez, desencadenar la creación de un formulario no deseado.

Mitigación recomendada

Actualizar el plugin Forminator Forms a la versión 1.36.0 o superior. Además, se recomienda implementar medidas de seguridad adicionales, como la verificación de tokens CSRF en formularios y la revisión de permisos de usuario.

Señales de detección

Señales de riesgo incluyen la aparición de formularios no autorizados en el panel de administración y registros de actividad inusual por parte de usuarios autenticados.

Alcance afectado

Las versiones del plugin Forminator Forms hasta la 1.35.1 están afectadas por esta vulnerabilidad, por lo que todas las instalaciones que utilicen estas versiones son susceptibles.