Se han emitido avisos sobre vulnerabilidades descubiertas en dos de los complementos de formulario de contacto de WordPress más populares, que podrían afectar a más de 1,1 millones de instalaciones. Se recomienda a los usuarios que actualicen sus complementos a las últimas versiones.

+1 millón de instalaciones de formularios de contacto de WordPress

Los complementos de formulario de contacto afectados son Ninja Forms (con más de 800.000 instalaciones) y Contact Form Plugin de Fluent Forms (+300.000 instalaciones). Las vulnerabilidades no están relacionadas entre sí y surgen de fallas de seguridad independientes.

Ninja Forms se ve afectado por una falla al escapar de una URL, lo que puede provocar un ataque de secuencias de comandos entre sitios reflejados (XSS reflejado) y la vulnerabilidad de Fluent Forms se debe a una verificación de capacidad insuficiente.

Ninja Forms reflejó secuencias de comandos entre sitios

Una vulnerabilidad de secuencias de comandos entre sitios reflejada, que corre el riesgo del complemento Ninja Forms, puede permitir que un atacante apunte a un usuario de nivel de administrador en un sitio web para obtener sus privilegios de sitio web asociados. Es necesario dar un paso adicional para engañar a un administrador para que haga clic en un enlace. Esta vulnerabilidad aún está en evaluación y no se le ha asignado una puntuación de nivel de amenaza CVSS.

Formularios fluidos faltan autorización

Al complemento del formulario de contacto de Fluent Forms le falta una verificación de capacidad que podría dar lugar a una capacidad no autorizada para modificar una API (una API es un puente entre dos software diferentes que les permite comunicarse entre sí).

Esta vulnerabilidad requiere que un atacante obtenga primero la autorización de nivel de suscriptor, lo que se puede lograr en sitios de WordPress que tienen activada la función de registro de suscriptor, pero no es posible para aquellos que no la tienen. A esta vulnerabilidad se le asignó una puntuación de nivel de amenaza medio de 4,2 (en una escala del 1 al 10).

Wordfence describe esta vulnerabilidad:

“El complemento de formulario de contacto de Fluent Forms para cuestionarios, encuestas y el complemento WP Form Builder de arrastrar y soltar para WordPress es vulnerable a una actualización no autorizada de la clave API de Malichimp debido a una verificación de capacidad insuficiente en la función verificarRequest en todas las versiones hasta, e incluyendo, 5.1.18.

Esto hace posible que los administradores de formularios con acceso de nivel de suscriptor y superior modifiquen la clave API de Mailchimp utilizada para la integración. Al mismo tiempo, la falta de validación de la clave API de Mailchimp permite la redirección de las solicitudes de integración al servidor controlado por el atacante”.

Acción recomendada

Se recomienda a los usuarios de ambos formularios de contacto que actualicen a las últimas versiones de cada complemento de formulario de contacto. El formulario de contacto de Fluent Forms se encuentra actualmente en la versión 5.2.0. La última versión del complemento Ninja Forms es 3.8.14.

Lea el aviso de NVD para el complemento de formulario de contacto de Ninja Forms: CVE-2024-7354

Lea el aviso de NVD para el formulario de contacto de Fluent Forms: CVE-2024

Lea el aviso de Wordfence sobre el formulario de contacto de Fluent Forms:
Complemento de formulario de contacto de Fluent Forms para cuestionarios, encuestas y el generador de formularios WP de arrastrar y soltar <= 5.1.18: falta autorización para la modificación de integración de Mailchimp autenticado (suscriptor+)

Imagen destacada de Shutterstock/Cast Of Thousands