Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.35.1 - Missing Authorization to Authenticated (Contributor+) Form Update and Creation

PLUGIN HIGH CVE-2024-10402

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Forminator Forms, que permite a usuarios autenticados con rol de colaborador o superior actualizar y crear formularios sin la debida autorización. Esta vulnerabilidad, clasificada con un CVSS de 7.5, puede comprometer la integridad de los datos gestionados a través de los formularios.

Contexto técnico

El fallo se produce debido a la falta de controles de autorización adecuados en las funciones de actualización y creación de formularios del plugin. Esto permite que usuarios que no deberían tener acceso a estas funciones puedan manipular formularios, lo que representa una superficie de ataque significativa para la aplicación.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la creación o modificación no autorizada de formularios, lo que podría resultar en la recopilación de datos sensibles o en la alteración de la funcionalidad del sitio. Esto podría afectar la reputación del negocio y la confianza de los usuarios, además de posibles implicaciones legales por la gestión inadecuada de datos.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad al autenticarse como usuarios con rol de colaborador o superior y ejecutar funciones de creación o actualización de formularios, sin que se validen sus permisos adecuadamente.

Mitigación recomendada

Se recomienda actualizar el plugin Forminator Forms a la versión 1.36.0 o superior, donde se ha corregido esta vulnerabilidad. Además, se sugiere revisar los roles y permisos asignados a los usuarios para limitar el acceso a funciones críticas.

Señales de detección

Se deben monitorizar los registros de actividad del plugin para detectar intentos inusuales de creación o modificación de formularios por parte de usuarios con rol de colaborador. También es recomendable establecer alertas para cualquier cambio en formularios que no corresponda a las prácticas normales de uso.

Alcance afectado

Las versiones del plugin Forminator Forms hasta la 1.35.1 son vulnerables. Se aconseja a los administradores de sitios que utilicen este plugin que realicen la actualización lo antes posible.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.50.2 - Authenticated (Administrator+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.49.1 - Missing Authorization to Authenticated (Forminator User+) CSV Export

Ver ficha
MEDIUM PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.45.0 - Authenticated (Administrator+) SQL Injection via `order_by` Parameter

Ver ficha
HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion

Ver ficha
HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated Arbitrary File Deletion Triggered via Administrator Form Submission Deletion

Ver ficha
MEDIUM PLUGIN

forminator

Forminator <= 1.44.1 - Authenticated (Contributor+) Stored DOM-Based Cross-Site Scripting via id and data-size Parameters

Ver ficha
MEDIUM PLUGIN

forminator

Forminator <= 1.42.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'limit'

Ver ficha
MEDIUM PLUGIN

forminator

Forminator <= 1.42.0 - Order Replay Vulnerability

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad