Descobriu-se que o popular plug-in Fluent Forms Contact Form Builder para WordPress, com mais de 300.000 instalações, contém uma vulnerabilidade de injeção de SQL que pode permitir acesso ao banco de dados a hackers.
Construtor de formulário de contato Fluent Forms
Fluent Forms Contact Form Builder é um dos formulários de contato mais populares para WordPress, com mais de 300.000 instalações.
Sua interface de arrastar e soltar facilita a criação de formulários de contato personalizados para que os usuários não precisem aprender a codificar.
A capacidade de usar o plugin para criar praticamente qualquer tipo de formulário de entrada o torna a melhor escolha.
Os usuários podem aproveitar o plug-in para criar formulários de inscrição, formulários de pagamento e formulários para criação de questionários.
Além disso, integra-se com aplicativos de terceiros como MailChimp, Zapier e Slack.
É importante ressaltar que ele também possui um recurso analítico nativo.
Essa incrível flexibilidade torna o Fluent Forms a melhor escolha porque os usuários podem realizar muito com apenas um plugin.
Neutralização de entrada
Cada plug-in que permite aos visitantes do site inserir dados diretamente no banco de dados, especialmente formulários de contato, deve processar essas entradas para que não permitam inadvertidamente que hackers insiram scripts ou comandos SQL que permitem que usuários mal-intencionados façam alterações inesperadas.
Esta vulnerabilidade específica torna o plug-in Fluent Forms aberto a uma vulnerabilidade de injeção de SQL, que é particularmente ruim se um hacker tiver sucesso em suas tentativas.
Vulnerabilidade de injeção SQL
SQL, que significa Structured Query Language, é uma linguagem usada para interagir com bancos de dados.
Uma consulta SQL é um comando para acessar, alterar ou organizar dados armazenados em um banco de dados.
Um banco de dados é o que contém tudo o que é usado para criar um site WordPress, como senhas, conteúdo, temas e plugins.
O banco de dados é o coração e o cérebro de um site WordPress.
Como consequência, a capacidade de “consultar” arbitrariamente um banco de dados é um nível extraordinário de acesso que não deveria estar disponível de forma alguma para usuários não autorizados ou software fora do site.
Um ataque de injeção de SQL ocorre quando um invasor mal-intencionado consegue usar uma interface de entrada legítima para inserir um comando SQL que pode interagir com o banco de dados.
O Open Worldwide Application Security Project (OWASP), sem fins lucrativos, descreve as consequências devastadoras de uma vulnerabilidade de injeção de SQL:
- “Os ataques de injeção de SQL permitem que os invasores falsifiquem a identidade, adulterem os dados existentes, causem problemas de repúdio, como anulação de transações ou alteração de saldos, permitam a divulgação completa de todos os dados no sistema, destruam os dados ou tornem-nos indisponíveis de outra forma e tornem-se administradores de o servidor de banco de dados.
- SQL Injection é muito comum em aplicativos PHP e ASP devido à prevalência de interfaces funcionais mais antigas. Devido à natureza das interfaces programáticas disponíveis, é menos provável que os aplicativos J2EE e ASP.NET tenham injeções de SQL facilmente exploradas.
- A gravidade dos ataques de injeção de SQL é limitada pela habilidade e imaginação do invasor e, em menor grau, pela defesa em contramedidas profundas, como conexões de baixo privilégio ao servidor de banco de dados e assim por diante. Em geral, considere SQL Injection uma severidade de alto impacto.”
Neutralização Indevida
O Banco de Dados de Vulnerabilidades dos Estados Unidos (NVD) publicou um comunicado sobre a vulnerabilidade que descreveu o motivo da vulnerabilidade como sendo uma “neutralização inadequada”.
Neutralização é uma referência a um processo para garantir que qualquer coisa inserida em um aplicativo (como um formulário de contato) será limitada ao que é esperado e não permitirá nada além do esperado.
A neutralização adequada de um formulário de contato significa que ele não permitirá um comando SQL.
O Banco de Dados de Vulnerabilidades dos Estados Unidos descreveu a vulnerabilidade:
“Neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando SQL (‘SQL Injection’) no Contact Form – WPManageNinja LLC Contact Form Plugin – Fastest Contact Form Builder Plugin para WordPress da Fluent Forms fluentform permite SQL Injection.
Este problema afeta o plug-in de formulário de contato – plug-in de criação de formulário de contato mais rápido para WordPress da Fluent Forms: de n/a a 4.3.25.”
A empresa de segurança Patchstack descobriu e relatou a vulnerabilidade aos desenvolvedores do plugin.
De acordo com Patchstack:
“Isso pode permitir que um agente mal-intencionado interaja diretamente com seu banco de dados, incluindo, entre outros, o roubo de informações.
Esta vulnerabilidade foi corrigida na versão 5.0.0.”
Embora o comunicado do Patchstack afirme que a vulnerabilidade foi corrigida na versão 5.0.0, não há indicação de uma correção de segurança de acordo com o changelog do Fluent Form Contact Form Builder, onde as alterações no software são registradas rotineiramente.
Esta é a entrada do changelog do Fluent Forms Contact Form Builder para a versão 5.0.0:
- “5.0.0 (DATA: 22 DE JUNHO DE 2023)
UI renovada e melhor UX- Melhoria do estilizador global
- A nova estrutura para uma resposta mais rápida
- Corrigido problema com o campo repetidor não aparecendo corretamente no PDF
- Corrigido problema com o WPForm Migrator que não transferia corretamente campos de texto para campos de entrada de texto com comprimento máximo de texto correto
- Corrigido problema com migração de entrada
- Formato numérico fixo em arquivos PDF
- Corrigido problema de rótulo de campo de rádio
- Rotas atualizadas do Ajax para rotas de descanso
- Convenção de nomenclatura de filtro e ganchos de ação atualizada com suporte a ganchos mais antigos
- Strings de tradução atualizadas”
É possível que uma dessas entradas seja a solução. Mas alguns desenvolvedores de plugins querem manter as correções de segurança em segredo, por qualquer motivo.
Recomendações:
É recomendado que os usuários do formulário de contato atualizem seu plugin o mais rápido possível.
Imagem apresentada por Shutterstock/Kues
