Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder < 1.15.38 - Unauthenticated SQL Injection (inyeccion SQL)

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin Form Maker de 10Web, que afecta a versiones anteriores a la 1.15.38. Esta falla de alta severidad puede comprometer la integridad de los datos y la seguridad de la instalación de WordPress.

Contexto técnico

La vulnerabilidad se presenta en el plugin Form Maker, permitiendo a un atacante ejecutar consultas SQL maliciosas sin necesidad de autenticación. La superficie de ataque se expone a través de formularios que no validan adecuadamente las entradas del usuario.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la filtración de información sensible, manipulación de datos y, en última instancia, a la toma de control del sitio web. Esto puede resultar en daños a la reputación y pérdidas económicas para el negocio.

Vector de explotación

Los atacantes pueden enviar solicitudes especialmente diseñadas a los formularios del plugin para ejecutar comandos SQL no autorizados, comprometiendo la base de datos.

Mitigación recomendada

Actualizar el plugin Form Maker a la versión 1.15.38 o superior. Revisar y sanitizar todas las entradas de usuario en los formularios. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF). Realizar auditorías de seguridad periódicas para identificar posibles vulnerabilidades.

Señales de detección

Revisar los logs de acceso en busca de patrones inusuales en las solicitudes a los formularios. También se deben monitorizar las consultas SQL ejecutadas en la base de datos para detectar actividades sospechosas.

Alcance afectado

Las versiones del plugin Form Maker anteriores a la 1.15.38 son vulnerables. No se han confirmado casos de explotación en versiones posteriores.