MetForm – Contact Form, Survey, Quiz, & Custom Form Builder for Elementor <= 4.1.0 - Unauthenticated Form Submission Exposure via Forgeable Cookie Value

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin MetForm para Elementor, que permite la exposición de envíos de formularios no autenticados. Esta vulnerabilidad afecta a las versiones anteriores a la 4.1.1 del plugin.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona las cookies forjables, lo que permite a un atacante enviar formularios sin necesidad de autenticación previa. Esto representa una debilidad en la validación de las solicitudes de envío de formularios.

Impacto potencial

El impacto potencial de esta vulnerabilidad es bajo, aunque puede permitir a un atacante enviar datos maliciosos a través de formularios, lo que podría comprometer la integridad de la información del sitio y afectar la confianza de los usuarios.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando las cookies para realizar envíos de formularios no autorizados, lo que les permite enviar información sin necesidad de estar autenticados.

Mitigación recomendada

Se recomienda actualizar el plugin MetForm a la versión 4.1.1 o superior para mitigar esta vulnerabilidad. Además, se sugiere revisar la configuración de los formularios y aplicar medidas de validación adicionales.

Señales de detección

Se deben monitorizar los registros de envío de formularios en busca de patrones inusuales, como envíos desde direcciones IP sospechosas o un número elevado de envíos en un corto periodo de tiempo.

Alcance afectado

Las versiones del plugin MetForm anteriores a la 4.1.1 están afectadas. Es importante verificar las instalaciones que utilizan este plugin para asegurar que están actualizadas.