O Forminator é um plugin que oferece uma interface de drag-and-drop para fazer diversos tipos de formulários em websites. É usado por organizações e empresas para formulãrios de contacto, receção de pagamentos, inquéritos, entre outros.

Falhas encontradas

CVE-2024-28890: Upload não restrito de ficheiros(CVSS Score 9.8 – Críticol)

Permitia ao atacante carregar todo o tipo de ficheiros para o website, podendo tomar controlo total do mesmo.

CVE-2024-31077: SQL Injection (CVSS Score 7.2 – Alto)

O atacante conseguia executar queries SQL maliciosas à base de dados e, dessa forma, recolher informação sensível dos utilizadores.

CVE-2024-31857: Cross-Site Scripting (XSS) (CVSS Score 6.1 – Médio)

O atacante podia injetar código javascript malicioso no formulário dos websites. Uma vez injetado, o código é executado no browser do utilizador, podendo depois o atacante roubar, por exemplo, a informação de sessão do utilizador, redirecioná-lo para outros sites maliciosos, entre outros.

Solução

CVE-2024-28890: atualizar para a versão 1.29.0 e superior.

CVE-2024-31077: atualizar para a versão 1.29.3 e superior.

CVE-2024-31857: atualizar para a versão 1.15.4 e superior

Mais informações: https://jvn.jp/en/jp/JVN50132400/

Atualizar pelo site oficial: https://wordpress.org/plugins/forminator/