Plugin do WordPress 'Gravity Forms' vulnerável à injeção de objeto PHP
31 de Maio de 2023

O plugin premium do WordPress "Gravity Forms", atualmente utilizado por mais de 930.000 sites, está vulnerável à Injeção de Objetos PHP não autenticados.

O Gravity Forms é um construtor de formulários personalizados que os proprietários de sites usam para criar formulários de pagamento, registro, upload de arquivos ou qualquer outro formulário necessário para interações ou transações visitante-site.

Em seu site, o Gravity Forms afirma ser usado por uma ampla variedade de grandes empresas, incluindo Airbnb, ESPN, Nike, NASA, PennState e Unicef.

A vulnerabilidade, rastreada como CVE-2023-28782, afeta todas as versões do plugin a partir da 2.73 e abaixo.

A falha foi descoberta pela PatchStack em 27 de março de 2023 e corrigida pelo fornecedor com o lançamento da versão 2.7.4, que ficou disponível em 11 de abril de 2023.

Os administradores de sites que usam o Gravity Forms são aconselhados a aplicar a atualização de segurança disponível o mais rápido possível.

O problema surge da falta de verificação de entrada fornecida pelo usuário para a função 'maybe_unserialize' e pode ser acionado ao enviar dados para um formulário criado com o Gravity Forms.

"Como o PHP permite a serialização de objetos, um usuário não autenticado pode passar strings serializadas ad hoc para uma chamada unserialize vulnerável, resultando em uma injeção de objeto(s) PHP arbitrária no escopo do aplicativo", alerta a PatchStack no relatório.

"Observe que essa vulnerabilidade pode ser acionada em uma instalação ou configuração padrão do plugin Gravity Forms e só precisa de um formulário criado que contenha um campo de lista."

Apesar da gravidade potencial do CVE-2023-28782, os analistas da PatchStack não conseguiram encontrar uma cadeia significativa de POP (programação orientada a propriedades) no plugin vulnerável, mitigando em certa medida o risco.

No entanto, o risco permanece grave se o mesmo site usar outros plugins ou temas que contenham uma cadeia POP, o que não é incomum considerando a ampla gama de plugins e temas do WordPress disponíveis e os diferentes níveis de qualidade de código e conscientização de segurança entre os desenvolvedores.

Nesses casos, a exploração do CVE-2023-28782 pode levar a acesso e modificação arbitrários de arquivos, exfiltração de dados de usuários/membros, execução de código e muito mais.

O fornecedor do plugin corrigiu a falha removendo o uso da função 'maybe_unserialize' do plugin Gravity Forms na versão 2.74.

Também é importante aplicar todas as atualizações em todos os plugins e temas ativos em seu site WordPress, pois as correções de segurança podem eliminar vetores de ataque, como cadeias POP, que podem ser aproveitadas neste caso para lançar ataques danosos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...