Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Forminator de WordPress, que permitiría a un atacante no autenticado subir archivos arbitrarios en el servidor del sitio web afectado.
La vulnerabilidad identificada como CVE-2023-4596, de severidad “Crítica” y con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de validación del tipo de archivo cargado en el servidor mediante la función upload_post_image() del plugin Forminator de WordPress. Esto permitiría a un atacante no autenticado subir archivos arbitrarios en el servidor del sitio web afectado, obtener información confidencial y potencialmente realizar ejecución remota de código (RCE). Actualmente para esta vulnerabilidad existe prueba de concepto (PoC) publicada.
El producto afectado es:
- Plugin Forminator de WordPress, versión 1.24.6 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-4596-critical-wordpress-plugin-forminator-flaw-affects-over-400k-sites/
- https://nvd.nist.gov/vuln/detail/CVE-2023-4596
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/forminator/forminator-1246-unauthenticated-arbitrary-file-upload
- https://wordpress.org/plugins/forminator/