La base de dades nacional de vulnerabilitats (NVD) del govern dels EUA va publicar un avís d’una vulnerabilitat crítica que afectava el complement del formulari de contacte de WordPress de Forminator fins a la versió 1.24.6 inclosa.
Els atacants no autenticats poden penjar fitxers maliciosos a llocs web que, segons l’advertència, “pot fer possible l’execució de codi remota”.
La puntuació de vulnerabilitat és de 9,8, en una escala d’un a deu, sent deu el nivell de vulnerabilitat més greu.
Captura de pantalla de Wordfence Advisory
Captura de pantalla de Wordfence.com
Vulnerabilitat davant atacants no autenticats
Moltes vulnerabilitats solen requerir que un atacant assoleixi primer un nivell d’usuari de WordPress abans de poder llançar un atac.
Per exemple, algunes vulnerabilitats estan disponibles per a aquells amb un nivell d’usuari subscriptor, d’altres requereixen nivell de col·laborador o administrador per poder realitzar un atac.
El que fa que aquesta vulnerabilitat sigui especialment preocupant és que permet als atacants no autenticats, aquells que no tenen cap nivell d’usuari, piratejar el lloc amb èxit.
Una segona raó per la qual aquesta vulnerabilitat té una qualificació de 9,8 en una escala de l’1 al 10 (crítica) és que l’atacant pot carregar un fitxer arbitrari, el que significa qualsevol tipus de fitxer, com un script maliciós.
La National Vulnerability Database (NVD) descriu la vulnerabilitat:
“El connector de Forminator per a WordPress és vulnerable a càrregues de fitxers arbitràries a causa de la validació del tipus de fitxer que es produeix després de penjar un fitxer al servidor amb la funció upload_post_image() en versions fins a, i inclosa, 1.24.6.
Això fa possible que els atacants no autenticats pugin fitxers arbitraris al servidor del lloc afectat que poden fer possible l’execució de codi remota”.
Execució de codi a distància
Una vulnerabilitat d’execució de codi remota (RCE) és un tipus d’explotació en què l’atacant pot executar codi maliciós al lloc web atacat de forma remota des d’una altra màquina.
El dany d’aquest tipus d’explotació pot ser tan greu com una presa de possessió completa del lloc.
Els formularis de contacte han d’estar bloquejats
Els complements de WordPress que permetin als usuaris registrats o no autenticats penjar qualsevol cosa, fins i tot text o imatges, han de tenir una manera de limitar el que es pot carregar.
Els formularis de contacte s’han de tancar especialment perquè accepten aportacions del públic.
RCE no específic per a WordPress
Aquest tipus de vulnerabilitats no són particulars de WordPress, poden passar a qualsevol sistema de gestió de continguts.
WordPress publica estàndards de codificació perquè els editors sàpiguen com prevenir aquest tipus de coses.
La pàgina de desenvolupadors de WordPress per a la seguretat dels connectors (Dades de desinfecció) explica com gestionar correctament les càrregues de fonts no fiables.
La pàgina del desenvolupador aconsella:
“Les dades no fiables provenen de moltes fonts (usuaris, llocs de tercers, fins i tot la vostra pròpia base de dades!) I cal comprovar-les abans d’utilitzar-les.
La desinfecció d’entrada és el procés d’assegurar/netejar/filtrar les dades d’entrada.
Es prefereix la validació a la desinfecció perquè la validació és més específica.
Però quan no és possible “més específic”, la desinfecció és la millor cosa.”
El connector del formulari de contacte de Forminator ha solucionat la vulnerabilitat?
Segons National Vulnerability Database i l’empresa de seguretat Wordfence WordPress, el problema s’ha resolt a la versió 1.25.0.
Wordfence recomana actualització a la darrera versió:
“Actualitzeu a la versió 1.25.0, o a una versió pegada més recent…”
Registre de canvis del connector de Forminator
Un registre de canvis és un registre de tots els canvis fets en un programari. Permet als usuaris llegir-lo i determinar si volen o no actualitzar el seu programari.
És una bona pràctica que els usuaris sàpiguen que una actualització de programari conté una solució (anomenada pedaç) per a una vulnerabilitat.
Això permet als usuaris saber que una actualització concreta és urgent perquè puguin prendre una decisió informada sobre l’actualització del seu programari.
En cas contrari, com sabria un usuari de programari que una actualització és urgent sense que el registre de canvis els informi, oi?
Jutgeu vosaltres mateixos si el registre de canvis de Forminator ofereix una notificació suficient als seus usuaris sobre un pegat de vulnerabilitat:
Captura de pantalla del registre de canvis de Forminator
Fonts:
Llegiu l’avís oficial de la National Vulnerability Database:
Llegiu l’avís de Wordfence sobre la vulnerabilitat del complement del formulari de contacte de Forminator WordPress
Forminator <= 1.24.6 - Càrrega de fitxers arbitraris no autenticats
Llegiu l’informe Exploit Database sobre la vulnerabilitat del formulari de contacte de Forminator
WordPress Plugin Forminator 1.24.6 – Execució de comandaments remots no autenticats
Imatge destacada de Shutterstock/ViDI Studio
