Global Preloader
Vulnerabilidad
(17/Nov/2017) Sitios de WordPress expuestos a ataques por fallas en "Formidable Forms"

Sitios de WordPress expuestos a ataques por fallas en "Formidable Forms"

Los plugins "Formidable Form" disponibles tanto de forma gratuita como en versión paga, que brindan funciones adicionales, son un complemento que permite a los usuarios crear fácilmente páginas de contactos, encuestas, y otros tipos de formularios.Y ya alcanza más de 200,000 instalaciones activas.

Jouko Pynnönen, de la empresa finlandesa Klikki Oy, analizó el complemento y descubrió varias vulnerabilidades, incluidas algunas que introducen serios riesgos de seguridad para los sitios web que la utilizan.

El error con mayor severidad es una inyección ciega de SQL que puede permitir a los atacantes enumerar las bases de datos de un sitio web y obtener su contenido. Los datos expuestos incluyen las credenciales de usuario de WordPress y los datos enviados a un sitio web a través de formularios formidables.

El investigador también encontró otro error que expone los datos enviados a través de Formularios formidables. Tanto esto como el error de inyección SQL están relacionados con la implementación de códigos breves de Formidable, el código específico de WordPress que permite a los usuarios agregar varios tipos de contenido a sus sitios con muy poco esfuerzo.

Pynnonen también descubrió vulnerabilidades de cross site scripting sitios (XSS) reflejado y almacenado. El XSS almacenado permite a un atacante ejecutar código JavaScript arbitrario en el contexto de la sesión de navegación de un administrador: el atacante inyecta el código malicioso a través de formularios y se ejecuta cuando el administrador del sitio lo visualiza en el panel de WordPress.

El experto también notó que si el plugin de mantenimiento iThemes Sync WordPress está presente junto con Formidable Form, un atacante puede explotar la falla de inyección de SQL mencionada anteriormente para obtener la identificación y la clave de autenticación de un usuario. Esta información se puede usar para controlar WordPress a través de iThemes Sync, incluso para agregar nuevos administradores o instalar complementos.

Los formularios formidables abordaron las vulnerabilidades con el lanzamiento de las versiones 2.05.02 y 2.05.03. iThemes Sync no ve el vector de ataque descrito por el investigador como una vulnerabilidad, por lo que ha decidido no lanzar un parche.

Pynnonen identificó estos defectos después de haber sido invitado a participar en un programa de recompensas de errores alojado en HackerOne que ofrece recompensas de hasta $10,000 dólares. El programa era administrado por una empresa tecnológica no identificada con sede en Singapur, pero las vulnerabilidades de Formidable Form calificaban para una recompensa debido al hecho de que el plugin había sido utilizado por la empresa. La explotación de los defectos en el sitio web de la empresa de tecnología podría haber permitido a un atacante obtener acceso a información personal y otros datos confidenciales.

El investigador ganó $4,500 dólares por la vulnerabilidad de inyección SQL y unos cientos de dólares por cada uno de los otros agujeros de seguridad. Sin embargo, está disgustado porque la compañía de Singapur minimizó los riesgos planteados por los defectos y redujo la gravedad del error de inyección SQL de "crítico" a "alto".

Pynnonen identificó vulnerabilidades serias en Yahoo Mail, plugins de WordPress y el núcleo de WordPress .