O plugin premium do WordPress "Gravity Forms", atualmente utilizado por mais de 930.000 sites, está vulnerável à Injeção de Objetos PHP não autenticados.
O Gravity Forms é um construtor de formulários personalizados que os proprietários de sites usam para criar formulários de pagamento, registro, upload de arquivos ou qualquer outro formulário necessário para interações ou transações visitante-site.
Em seu site, o Gravity Forms afirma ser usado por uma ampla variedade de grandes empresas, incluindo Airbnb, ESPN, Nike, NASA, PennState e Unicef.
A vulnerabilidade, rastreada como CVE-2023-28782, afeta todas as versões do plugin a partir da 2.73 e abaixo.
A falha foi descoberta pela PatchStack em 27 de março de 2023 e corrigida pelo fornecedor com o lançamento da versão 2.7.4, que ficou disponível em 11 de abril de 2023.
Os administradores de sites que usam o Gravity Forms são aconselhados a aplicar a atualização de segurança disponível o mais rápido possível.
O problema surge da falta de verificação de entrada fornecida pelo usuário para a função 'maybe_unserialize' e pode ser acionado ao enviar dados para um formulário criado com o Gravity Forms.
"Como o PHP permite a serialização de objetos, um usuário não autenticado pode passar strings serializadas ad hoc para uma chamada unserialize vulnerável, resultando em uma injeção de objeto(s) PHP arbitrária no escopo do aplicativo", alerta a PatchStack no relatório.
"Observe que essa vulnerabilidade pode ser acionada em uma instalação ou configuração padrão do plugin Gravity Forms e só precisa de um formulário criado que contenha um campo de lista."
Apesar da gravidade potencial do CVE-2023-28782, os analistas da PatchStack não conseguiram encontrar uma cadeia significativa de POP (programação orientada a propriedades) no plugin vulnerável, mitigando em certa medida o risco.
No entanto, o risco permanece grave se o mesmo site usar outros plugins ou temas que contenham uma cadeia POP, o que não é incomum considerando a ampla gama de plugins e temas do WordPress disponíveis e os diferentes níveis de qualidade de código e conscientização de segurança entre os desenvolvedores.
Nesses casos, a exploração do CVE-2023-28782 pode levar a acesso e modificação arbitrários de arquivos, exfiltração de dados de usuários/membros, execução de código e muito mais.
O fornecedor do plugin corrigiu a falha removendo o uso da função 'maybe_unserialize' do plugin Gravity Forms na versão 2.74.
Também é importante aplicar todas as atualizações em todos os plugins e temas ativos em seu site WordPress, pois as correções de segurança podem eliminar vetores de ataque, como cadeias POP, que podem ser aproveitadas neste caso para lançar ataques danosos.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...