A Forminator WordPress bővítmény sebezhetőségére figyelmeztet a japán CERT (továbbiakban: JPCERT). A Forminator egy népszerű plugin, amely lehetővé teszi a felhasználók számára, hogy könnyedén hozzanak létre különféle űrlapokat a webhelyükhöz kódolási ismeretek nélkül, illetve korlátlan fájlfeltöltést tesz lehetővé a szerverre.
Az egyik ilyen sérülékenység a CVE-2024-28890 (CVSS v3: 9.8) elnevezésű kritikus probléma, mely kihasználásával a támadó rosszindulatú kódot tölthet fel a WordPress webhelyre a beépülő modul használatával.
A JPCERT által kiadott biztonsági közlemény alapján „a támadó bizalmas információkhoz juthat a kiszolgálón lévő fájlok elérésével, változtatásokat hajthat végre a webhelyen, és szolgáltatásmegtagadási (DoS) állapotot okozhat”.
A közlemény még az alábbi sérülékenységekre figyelmeztet:
· CVE-2024-31077 (CVSS pontszám 7.2) – SQL injekciós hiba. Egy távoli, hitelesített, rendszergazdai jogosultsággal rendelkező támadó megszerezheti és módosíthatja az adatbázist, és szolgáltatásmegtagadási (DoS) állapotot okozhat.
· CVE-2024-31857 (CVSS pontszám 6.1) – Webhelyek közötti parancsfájlok hibája. A támadó megszerezheti a felhasználói adatokat és megváltoztathatja az oldal tartalmát kliens oldalon.
Ez a bővítmény több mint 500 000 webhelyhez van telepítve a WordPress.org statisztikái alapján.
A Forminator 1.29.3-as verziójában kezelték ezeket a biztonsági réseket, így a rendszergazdáknak ajánlott a mielőbbi frissítés.
