Falha em plugin Forminator do WordPress afeta 500 mil websites

O plugin Forminator do WordPress, usado em mais de 500.000 websites, encontra-se aberto a uma falha que pode permitir o envio de ficheiros maliciosos para os servidores com a instalação do WordPress.

O plugin, desenvolvido pela equipa do WPMU DEV, permite aos utilizadores do WordPress rapidamente criarem formulários de contacto, perguntas de feedback e outras similares, usando uma interface simples de usar em formato “drag and drop”.

No entanto, a CERT do Japão alertou recentemente para a existência de uma vulnerabilidade com o plugin, que quando explorada, permite que os atacantes enviem ficheiros para a instalação do WordPress, potencialmente comprometendo a mesma com scripts maliciosos e similares.

As falhas ocorrem devido ao facto do Forminator não autenticar corretamente os ficheiros enviados, e permitir que os mesmos possam ser enviados para o servidor sem controlo por terceiros.

O plugin, de acordo com os dados do site do WordPress, encontra-se atualmente usado em mais de 500 mil instalações. Até à data, apenas 180.000 instalaram a versão mais recente atualizada, que conta com a correção para este problema, o que deixa ainda mais de 320.000 sites vulneráveis.