Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.38.2 - Authenticated (Admin+) Stored Cross-Site Scripting

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Forminator Forms, que afecta a las versiones hasta la 1.38.2. Este fallo podría ser explotado por administradores autenticados, lo que incrementa su riesgo potencial.

Contexto técnico

La vulnerabilidad se manifiesta a través de una inyección de scripts maliciosos en formularios almacenados, permitiendo a un atacante ejecutar código JavaScript en el contexto de la sesión de un usuario autenticado. Esto se produce debido a una falta de validación adecuada de los datos introducidos en el sistema.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante ejecutar scripts en el navegador de otros administradores, comprometiendo así la integridad del sitio y potencialmente robando información sensible o manipulando datos.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la creación de formularios que contienen scripts maliciosos. Un atacante podría inducir a un administrador a interactuar con estos formularios, lo que desencadenaría la ejecución del código malicioso.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Forminator Forms a la versión 1.38.3 o superior. Además, se sugiere revisar y validar todos los formularios existentes y aplicar medidas de seguridad adicionales como la sanitización de entradas.

Señales de detección

Las señales de posible explotación incluyen cambios no autorizados en formularios, comportamientos inusuales en la interfaz de usuario del plugin y alertas de seguridad relacionadas con scripts no reconocidos en el código fuente de la página.

Alcance afectado

Las versiones del plugin Forminator Forms hasta la 1.38.2 son las que presentan esta vulnerabilidad. Se recomienda a todos los usuarios de este plugin verificar sus instalaciones.