Vulnerabilitat en formularis fluids Formulari de contacte Plugin de WordPress


Es va descobrir que el popular connector Fluent Forms Contact Form Builder per a WordPress, amb més de 300.000 instal·lacions, contenia una vulnerabilitat d’injecció SQL que podria permetre l’accés a la base de dades als pirates informàtics.

Creador de formularis de contacte Fluent Forms

Fluent Forms Contact Form Builder és un dels formularis de contacte més populars per a WordPress, amb més de 300.000 instal·lacions.

La seva interfície d’arrossegar i deixar anar facilita la creació de formularis de contacte personalitzats perquè els usuaris no hagin d’aprendre a codificar.

La possibilitat d’utilitzar el connector per crear pràcticament qualsevol tipus de formulari d’entrada el converteix en la millor opció.

Els usuaris poden aprofitar el connector per crear formularis de subscripció, formularis de pagament i formularis per crear proves.

A més, s’integra amb aplicacions de tercers com MailChimp, Zapier i Slack.

És important destacar que també té una capacitat d’anàlisi nativa.

Aquesta increïble flexibilitat fa que Fluent Forms sigui la millor opció perquè els usuaris poden aconseguir moltes coses amb un sol connector.

Neutralització d’entrada

Tots els connectors que permeten als visitants del lloc introduir dades directament a la base de dades, especialment els formularis de contacte, han de processar aquestes entrades de manera que no permetin als pirates informàtics introduir scripts o ordres SQL que permetin als usuaris maliciosos fer canvis inesperats.

Aquesta vulnerabilitat particular fa que el connector Fluent Forms s’obri a una vulnerabilitat d’injecció SQL que és especialment dolenta si un pirata informàtic té èxit en els seus intents.

Vulnerabilitat d’injecció SQL

SQL, que significa Structured Query Language, és un llenguatge utilitzat per interactuar amb bases de dades.

Una consulta SQL és una ordre per accedir, canviar o organitzar dades que s’emmagatzemen en una base de dades.

Una base de dades és allò que conté tot el que s’utilitza per crear un lloc web de WordPress, com ara contrasenyes, contingut, temes i connectors.

La base de dades és el cor i el cervell d’un lloc web de WordPress.

Com a conseqüència, la capacitat de “consultar” arbitràriament una base de dades és un nivell d’accés extraordinari que no hauria d’estar disponible per a usuaris o programari no autoritzats fora del lloc web.

Un atac d’injecció SQL és quan un atacant maliciós és capaç d’utilitzar una interfície d’entrada legítima per inserir una ordre SQL que pugui interactuar amb la base de dades.

El projecte de seguretat d’aplicacions mundial obert (OWASP) sense ànim de lucre descriu les conseqüències devastadores d’una vulnerabilitat d’injecció SQL:

  • “Els atacs d’injecció SQL permeten als atacants falsificar la identitat, manipular les dades existents, causar problemes de repudi com ara anul·lar transaccions o canviar saldos, permetre la divulgació completa de totes les dades del sistema, destruir les dades o fer-les no disponibles d’una altra manera i convertir-se en administradors de el servidor de bases de dades.
  • La injecció SQL és molt comú amb les aplicacions PHP i ASP a causa de la prevalença d’interfícies funcionals més antigues. A causa de la naturalesa de les interfícies programàtiques disponibles, és menys probable que les aplicacions J2EE i ASP.NET hagin explotat fàcilment les injeccions SQL.
  • La gravetat dels atacs d’injecció SQL està limitada per l’habilitat i la imaginació de l’atacant i, en menor mesura, per contramesures de defensa en profunditat, com ara connexions amb privilegis baixos al servidor de bases de dades, etc. En general, considereu que la injecció SQL és una gravetat d’alt impacte”.

Neutralització inadequada

La base de dades de vulnerabilitats dels Estats Units (NVD) va publicar un avís sobre la vulnerabilitat que descrivia el motiu de la vulnerabilitat com a “neutralització inadequada”.

La neutralització és una referència a un procés per assegurar-se que qualsevol cosa que s’introdueixi en una aplicació (com un formulari de contacte) es limitarà al que s’espera i no permetrà res més que el que s’espera.

La neutralització adequada d’un formulari de contacte significa que no permetrà una ordre SQL.

Base de dades de vulnerabilitats dels Estats Units descriu la vulnerabilitaty:

“Neutralització incorrecta d’elements especials utilitzats en una vulnerabilitat d’ordres SQL (“Injecció SQL”) al formulari de contacte – WPManageNinja LLC Connector de formulari de contacte – El connector de generador de formularis de contacte més ràpid per a WordPress per Fluent Forms fluentform permet la injecció SQL.

Aquest problema afecta el connector de formularis de contacte: connector de generador de formularis de contacte més ràpid per a WordPress per Fluent Forms: des de n/a fins a 4.3.25.

L’empresa de seguretat Patchstack va descobrir i va informar de la vulnerabilitat als desenvolupadors del complement.

D’acord amb Patchstack:

“Això podria permetre a un actor maliciós interactuar directament amb la vostra base de dades, inclòs, entre d’altres, robar informació.

Aquesta vulnerabilitat s’ha solucionat a la versió 5.0.0.

Tot i que l’avís de Patchstack indica que la vulnerabilitat es va solucionar a la versió 5.0.0, no hi ha cap indicació d’una correcció de seguretat segons el registre de canvis de Fluent Form Contact Form Builder, on els canvis al programari es registren de manera rutinària.

Aquest és el Creador de formularis de contacte de Fluent Forms registre de canvis entrada per a la versió 5.0.0:

  • “5.0.0 (DATA: 22 DE JUNY DE 2023)
    Interfície d’usuari renovada i millor UX
  • Millora global de Styler
  • El nou marc per a una resposta més ràpida
  • S’ha solucionat el problema amb el camp del repetidor que no apareixia correctament al PDF
  • S’ha solucionat un problema amb WPForm Migrator que no transferia correctament els camps de text als camps d’entrada de text amb una longitud de text màxima correcta
  • S’ha solucionat el problema amb la migració d’entrada
  • Format de nombre fix en fitxers PDF
  • S’ha solucionat el problema de l’etiqueta del camp de ràdio
  • Rutes Ajax actualitzades a Rutes de descans
  • S’ha actualitzat la convenció de nomenclatura de ganxos d’acció i filtres amb suport de ganxos més antics
  • cadenes de traducció actualitzades”

Vulnerabilitat en formularis fluids Formulari de contacte Plugin de WordPress

És possible que una d’aquestes entrades sigui la correcció. Però alguns desenvolupadors de connectors volen mantenir en secret les correccions de seguretat, per qualsevol motiu.

Recomanacions:

Es recomana que els usuaris del formulari de contacte actualitzin el seu connector tan aviat com sigui possible.

Imatge destacada de Shutterstock/Kues



Source link

Vulnerabilitat en formularis fluids Formulari de contacte Plugin de WordPress

You May Also Like

Com utilitzar directoris rellevants i orientats per a la creació d’enllaços

Com utilitzar directoris rellevants i orientats per a la creació d’enllaços

10 passos per fer créixer la vostra autoritat SEO i experiència tòpica

10 passos per fer créixer la vostra autoritat SEO i experiència tòpica

Google Ads llança les estadístiques de diagnòstic

Google Ads llança les estadístiques de diagnòstic

Cookies
Utilitzem cookies. Si li sembla bé només ha de fer clic a "Acceptar-les totes". I també pot escollir quin tipus de cookies vol permetre, clicant al botó dels "Ajustaments". Llegeixi la nostra Política de Cookies
Configuració Acceptar-les totes
Cookies
Triï quin tipus de cookies accepta. L'elecció es conservarà durant un any. Llegeixi la nostra Política de Cookies
Desar Acceptar-les totes