Form Maker by 10Web – Mobile-Friendly Drag & Drop Contact Form Builder <= 1.15.42 - Unauthenticated SQL Injection via 'inputs' (inyeccion SQL) - version 1.15.43

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Form Maker de 10Web, que afecta a versiones anteriores a la 1.15.43. Esta falla permite a un atacante no autenticado ejecutar consultas SQL maliciosas, comprometiendo la integridad de la base de datos y los datos del usuario.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja los 'inputs' sin la debida validación, permitiendo la inyección de código SQL. Esto expone la superficie de ataque a usuarios no autenticados, que pueden interactuar con el formulario sin requerir credenciales.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, permitiendo a atacantes acceder, modificar o eliminar datos en la base de datos del sitio. Esto no solo pone en riesgo la seguridad de la información, sino que también puede afectar la reputación y la confianza de los usuarios en la plataforma.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a través del formulario, lo que les permite ejecutar comandos SQL arbitrarios en la base de datos.

Mitigación recomendada

Actualizar el plugin Form Maker a la versión 1.15.43 o superior para cerrar la vulnerabilidad. Revisar los logs de actividad para detectar posibles intentos de explotación. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para filtrar tráfico malicioso.

Señales de detección

Señales de alerta incluyen entradas inusuales en los logs de acceso y errores de base de datos que sugieren intentos de inyección SQL.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin Form Maker por 10Web hasta la 1.15.42. No se han confirmado casos en versiones posteriores.