Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.45.0 - Authenticated (Administrator+) SQL Injection via `order_by` Parameter

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Forminator, que afecta a las versiones hasta la 1.45.0. Esta vulnerabilidad permite a administradores autenticados ejecutar consultas SQL maliciosas a través del parámetro `order_by`.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado del parámetro `order_by`, lo que permite la inyección de código SQL. Esto se puede explotar en entornos donde un administrador autenticado puede manipular las consultas a la base de datos, afectando la integridad y disponibilidad de los datos.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante con privilegios de administrador acceda o modifique datos sensibles, lo que podría comprometer la seguridad del sitio y la confianza de los usuarios. Esto puede resultar en daños financieros y reputacionales para la organización.

Vector de explotación

La explotación se realiza mediante el envío de solicitudes manipuladas que incluyen un payload SQL en el parámetro `order_by`, lo que permite ejecutar comandos no autorizados en la base de datos.

Mitigación recomendada

Actualizar el plugin Forminator a la versión 1.45.1 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los registros de acceso y asegurar que solo los usuarios autorizados tengan privilegios de administrador.

Señales de detección

Señales de riesgo incluyen intentos inusuales de acceso a la base de datos por parte de administradores, así como entradas en los registros que indiquen el uso del parámetro `order_by` con valores sospechosos.

Alcance afectado

Las versiones del plugin Forminator hasta la 1.45.0 están afectadas. Es crucial que los usuarios de este plugin verifiquen su versión y apliquen las actualizaciones necesarias.