El investigador Jouko Pynnönen Finlandia Y Klikki Oy ha descubierto varias vulnerabilidades en el plugin Formidable Forms que expone a los sitios webs a ataques.
Formidable Forms permite a los usuarios crear fácilmente páginas de contacto, sondeos y encuestas, y muchos otros tipos de formas, que cuenta con más de 200.000 instalaciones activas.
Pynnonen descubrió que los defectos peligrosos afectan tanto a la version gratis como la versión de pago.
El problema más grave descubierto por el experto es una inyección SQL que puede ser explotada por atacantes para enumerar las bases de datos de un sitio web y acceder a su contenido, incluyendo las credenciales del usuario y los datos presentados a un sitio web a través de Formidable Forms.
“El plugin implementa una vista previa función AJAX forma accesible a cualquier persona sin necesidad de autenticación. La función acepta algunos parámetros que afectan a la forma en que se genera el código HTML formulario de vista previa. Parámetros
after_html
ybefore_html
podrían utilizarse para agregar HTML personalizada antes y después de la forma. La mayoría de las vulnerabilidades confiado en esta función.” Escribió Pynnonen.
Formidable Forms también se ve afectada por las vulnerabilidades que reflejan y se almacena cross-site scripting (XSS). El XSS almacenado podría ser aprovechado por un atacante para ejecutar código JavaScript arbitrario en el contexto de la sesión de navegación de un administrador. Un atacante puede inyectar un código malicioso a través de formularios, el código se ejecuta cuando el administrador del sitio veria en el panel de administrador.
“Los administradores pueden ver los datos introducidos por los usuarios en formas formidable en el panel de WordPress. Cualquier HTML entrado en formas se filtra con la función de los
wp_kses()
. Esto no es suficiente para evitar HTML peligroso, ya que permite que el “id” y atributos HTML “clase” y, por ejemplo la etiquetaform
HTML. Fue posible elaborar el código HTML que se traduciría en JavaScript suministrado por el atacante para ser ejecutado cuando la entrada de formulario se ve.” Segun el experto.A continuación el ejemplo compartida por el experto:
form id=tinymce textarea name=DOM /textarea /form
a class=frm_field_list>panelInit /a
aid ="frm_dyncontent" bid ="xxxdyn_default_valuexxxxx" class="ui-find-overlay wp-editor-wrap" overlay /b /a
aid =post-visibility-display vis1 /a aid =hidden-post-visibility>vis2 /a aid =visibility-radio-private vis3 /a
div id=frm-fid-search-menu aid =frm_dynamic_values_tab zzz /a /div
form id=posts-filter method=post action=admin-ajax.php?action=frm_forms_preview
textarea name=before_html <svg on[entry_key]loaad=ler(t/xss/) //te&xtagt;rea /form
El experto también descubrió que si la instalación de WordPress incluye el mantenimiento plugin de WordPress iThemes sincronización junto con las formas formidables, el atacante puede explotar la falla de inyección SQL para obtener la clave de identificación y autenticación de un usuario.
ID del usuario y la clave de autenticación pueden ser usados para controlar a través de WordPress iThemes sincronización.
Formas formidables soluciono rápidamente los defectos con la liberación de versiones 2.05.02 y 2.
El experto identificó y publicó como parte de un programa de recompensas de errores que ofrece recompensas de hasta $ 10.000, la iniciativa gestionada por el HackerOne se llevó a cabo por una empresa de tecnología con sede en Singapur. El plug-in Forms Formidable es uno de los programas informáticos utilizados por la empresa de tecnología.