La Base de datos nacional de vulnerabilidades (NVD) del gobierno de EE. UU. emitió un aviso sobre una vulnerabilidad que afecta al complemento de WordPress Metform Elementor Contact Form Builder y que podría filtrar información confidencial.
Creador de formularios de contacto Metform Elementor para WordPress
El creador de formularios de contacto Metform Elementor es un complemento de terceros para el popular complemento de creación de páginas Elementor con más de 200.000 instalaciones.
Ofrece una interfaz de arrastrar y soltar que facilita la creación de formularios de contacto, incluidos formularios de varios pasos.
El complemento de WordPress del creador de formularios de contacto Metform para Elementor permite a los principiantes sin habilidades de codificación crear formularios de encuestas, formularios de contacto, formularios de comentarios de referencias y también puede guardar un formulario para que un usuario pueda regresar al formulario si pierde y recupera la conexión a Internet.
Según el repositorio oficial de complementos de WordPress:
“MetForm, el creador de formularios de contacto de WordPress de arrastrar y soltar, es un complemento para Elementor, crea cualquier formulario de contacto rápido y seguro sobre la marcha con su flexibilidad de arrastrar y soltar.
Puede administrar múltiples formularios de contacto y puede personalizar el formulario de varios pasos con un constructor Elementor”.
Vulnerabilidad de divulgación de información
La vulnerabilidad permite a un atacante obtener información confidencial.
El NVD clasifica esta vulnerabilidad como una amenaza de nivel medio porque requiere que un atacante obtenga un nivel de suscriptor o una función de usuario superior.
Una función de usuario a nivel de suscriptor es un listón relativamente bajo para activar el exploit, ya que es más fácil de obtener que una función de usuario a nivel de administrador o editor.
Un atacante sólo necesita suscribirse a un sitio web para poder lanzar un ataque.
El sitio web de Elementor describe la función del usuario suscriptor:
“Un suscriptor de WordPress es un usuario del sitio que sólo puede editar su perfil, leer publicaciones y dejar comentarios.
WordPress utiliza el concepto de “roles” para permitir que el propietario de un sitio controle y administre qué conjunto de tareas (capacidades) los usuarios pueden hacer o no dentro del sitio.
Un suscriptor es el nivel más bajo de rol de usuario con la menor cantidad de permisos”.
Por lo tanto, un atacante puede comenzar a piratear el sitio con el rol de usuario de nivel más bajo.
El NVD describe la amenaza:
“El creador de formularios de contacto Metform Elementor para WordPress es vulnerable a la divulgación de información a través del código corto ‘mf_first_name’ en versiones hasta la 3.3.1 inclusive.
Esto permite a atacantes autenticados, con capacidades de nivel de suscriptor o superior, obtener información confidencial sobre envíos de formularios arbitrarios, incluido el nombre del remitente”.
Actualizar complemento para mitigar la amenaza de ataque
Esta vulnerabilidad afecta a las versiones del complemento Metform Elementor Contact Form Builder hasta la 3.3.1 inclusive.
La versión más actual del complemento es 3.4.0.
Metform Elementor Contact Form Builder versión 3.3.2 es la versión que solucionó la vulnerabilidad.
Según el registro de cambios oficial del Creador de formularios de contacto de Metform Elementor:
“Versión 3.3.2
…Mejorado: verificación de seguridad, nonce y autorización”.
Lea el aviso oficial de NVD:
CVE-2023-0689 Detalle
Imagen destacada de Shutterstock/pedrorsfernandes