Saltar al contenido

Fuente base de datos: Wordfence Intelligence

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.55.0.2 - Unauthenticated Arbitrary File Download (vulnerabilidad) - version 1.55.1

PLUGIN HIGH CVE-2026-57815

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Forminator, que permite la descarga arbitraria de archivos sin necesidad de autenticación. Esta brecha de seguridad puede comprometer la integridad de los datos y exponer información sensible.

Contexto técnico

El fallo se encuentra en versiones del plugin Forminator hasta la 1.55.0.2, permitiendo que un atacante no autenticado acceda y descargue archivos del servidor. La superficie de ataque se amplía a cualquier usuario con acceso a la interfaz del formulario, lo que facilita la explotación.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la exposición de datos sensibles, afectando la confianza del cliente y la reputación de la organización. Además, podría dar lugar a ataques adicionales si se obtienen archivos críticos del sistema.

Vector de explotación

La vulnerabilidad se puede explotar mediante la manipulación de solicitudes HTTP que permiten la descarga de archivos sin autenticación previa, facilitando así el acceso no autorizado a información del servidor.

Mitigación recomendada

Actualizar el plugin Forminator a la versión 1.55.1 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso para identificar posibles intentos de explotación. Implementar medidas de seguridad adicionales, como firewalls y restricciones de acceso a archivos sensibles.

Señales de detección

Señales a observar incluyen intentos de acceso a archivos sensibles en los logs de servidor y patrones inusuales en las solicitudes HTTP dirigidas a los formularios de Forminator.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.55.1. No se han confirmado casos en versiones posteriores a esta.

Vulnerabilidades relacionadas

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.52.1 - Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'

MEDIUM PLUGIN

forminator

Forminator – Contact Form, Payment Form & Custom Form Builder <= 1.52.0 - Missing Authorization to Unauthenticated Stripe PaymentIntent Reuse / Underpayment Bypass via 'paymentid' Parameter

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated PHP Object Injection (PHAR) Triggered via Administrator Form Submission Deletion

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.44.2 - Unauthenticated Arbitrary File Deletion Triggered via Administrator Form Submission Deletion

CRITICAL PLUGIN

forminator

Forminator <= 1.28.1 - Unauthenticated Arbitrary File Upload

CRITICAL PLUGIN

forminator

Forminator <= 1.24.6 - Unauthenticated Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad