Form Maker by 10Web <= 1.15.40 - Authenticated (Administrator+) SQL Injection via 'ip_search' Parameter (inyeccion SQL) - version 1.15.41

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Form Maker de 10Web, que afecta a versiones hasta la 1.15.40. Esta falla permite a administradores autenticados ejecutar consultas SQL maliciosas, comprometiendo la integridad de la base de datos y los datos del usuario.

Contexto técnico

La vulnerabilidad se encuentra en el parámetro 'ip_search', permitiendo la inyección de código SQL a través de peticiones autenticadas. Esto expone la base de datos a manipulaciones no autorizadas por parte de usuarios con privilegios de administrador.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles y la alteración de la información almacenada en la base de datos. Aunque la severidad se clasifica como media (CVSS 4.9), el acceso no controlado a la base de datos puede tener repercusiones significativas en la seguridad del sitio.

Vector de explotación

La explotación de esta vulnerabilidad generalmente se realiza mediante el envío de solicitudes manipuladas a través de la interfaz de administración, utilizando el parámetro 'ip_search' para ejecutar consultas SQL maliciosas.

Mitigación recomendada

Actualizar el plugin Form Maker a la versión 1.15.41 o posterior para corregir la vulnerabilidad. Revisar los registros de actividad para detectar accesos inusuales o intentos de explotación. Implementar medidas de seguridad adicionales, como la limitación de acceso a la interfaz de administración.

Señales de detección

Señales de posible explotación incluyen registros de consultas SQL inusuales o errores relacionados con el acceso a la base de datos en los logs del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.15.41 del plugin Form Maker. No se han confirmado casos en versiones posteriores.