Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder <= 2.17.3 - Missing Authorization to Authenticated (Subscriber+) Form Submission Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'Contact Form by Bit Form' que permite la divulgación no autorizada de formularios de envío para usuarios autenticados con rol de suscriptor o superior. Esta falla afecta a las versiones anteriores a la 2.17.4.

Contexto técnico

La vulnerabilidad se origina en la falta de autorización adecuada en el manejo de los envíos de formularios, lo que permite a usuarios no autorizados acceder a datos que deberían estar restringidos. La superficie de ataque se centra en las funcionalidades de envío de formularios del plugin.

Impacto potencial

El impacto potencial de esta vulnerabilidad puede ser significativo, ya que permite la exposición de información sensible a usuarios no autorizados, lo que podría comprometer la privacidad de los datos y la confianza de los usuarios en la plataforma.

Vector de explotación

La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes manipuladas a los formularios afectados, lo que permite a un atacante acceder a datos que deberían estar protegidos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.17.4 o superior. Además, es aconsejable revisar la configuración de permisos de los formularios y aplicar controles adicionales de autenticación.

Señales de detección

Señales que pueden indicar un riesgo incluyen intentos de acceso no autorizado a formularios, así como registros de actividad inusual en el manejo de envíos de formularios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.17.4 del plugin 'Contact Form by Bit Form'.