Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

Vulnerabilità nei moduli Fluent Modulo di contatto WordPress Plugin

Vulnerabilità nei moduli Fluent Modulo di contatto WordPress Plugin

È stato scoperto che il popolare plugin Fluent Forms Contact Form Builder per WordPress, con oltre 300.000 installazioni, contiene una vulnerabilità SQL Injection che potrebbe consentire l'accesso al database agli hacker.

La vulnerabilità potrebbe essere stata corretta a giugno, ma è stata appena annunciata il 3 novembre 2023.

Fluent Forms Generatore di moduli di contatto

Fluent Forms Contact Form Builder è uno dei moduli di contatto più popolari per WordPress, con oltre 300.000 installazioni.

La sua interfaccia drag-and-drop semplifica la creazione di moduli di contatto personalizzati in modo che gli utenti non debbano imparare a programmare.

La possibilità di utilizzare il plugin per creare praticamente qualsiasi tipo di modulo di input lo rende la scelta migliore.

Gli utenti possono sfruttare il plug-in per creare moduli di iscrizione, moduli di pagamento e moduli per la creazione di quiz.

Inoltre si integra con applicazioni di terze parti come MailChimp, Zapier e Slack.

È importante sottolineare che ha anche una capacità di analisi nativa.

Questa incredibile flessibilità rende Fluent Forms la scelta migliore perché gli utenti possono ottenere così tanto con un solo plug-in.

Neutralizzazione degli ingressi

Ogni plug-in che consente ai visitatori del sito di inserire dati direttamente nel database, in particolare i moduli di contatto, deve elaborare tali input in modo da non consentire inavvertitamente agli hacker di inserire script o comandi SQL che consentano a utenti malintenzionati di apportare modifiche inaspettate.

Questa particolare vulnerabilità rende il plugin Fluent Forms aperto a una vulnerabilità SQL injection che è particolarmente grave se un hacker riesce nei suoi tentativi.

Vulnerabilità dell'iniezione SQL

SQL, che significa Structured Query Language, è un linguaggio utilizzato per interagire con i database.

Una query SQL è un comando per accedere, modificare o organizzare i dati archiviati in un database.

Un database è ciò che contiene tutto ciò che viene utilizzato per creare un sito Web WordPress, come password, contenuti, temi e plugin.

Il database è il cuore e il cervello di un sito Web WordPress.

Di conseguenza, la capacità di “interrogare” arbitrariamente un database è un livello di accesso straordinario che non dovrebbe assolutamente essere disponibile a utenti o software non autorizzati al di fuori del sito web.

Un attacco SQL injection si verifica quando un utente malintenzionato è in grado di utilizzare un'interfaccia di input altrimenti legittima per inserire un comando SQL in grado di interagire con il database.

L'organizzazione no-profit Open Worldwide Application Security Project (OWASP) descrive le conseguenze devastanti di una vulnerabilità SQL injection:

  • "Gli attacchi SQL injection consentono agli aggressori di falsificare l'identità, manomettere i dati esistenti, causare problemi di ripudio come l'annullamento di transazioni o la modifica dei saldi, consentire la completa divulgazione di tutti i dati sul sistema, distruggere i dati o renderli altrimenti non disponibili e diventare amministratori di il server della banca dati.
  • SQL Injection è molto comune con le applicazioni PHP e ASP a causa della prevalenza di interfacce funzionali più vecchie. A causa della natura delle interfacce programmatiche disponibili, le applicazioni J2EE e ASP.NET hanno meno probabilità di sfruttare facilmente le SQL injection.
  • La gravità degli attacchi SQL Injection è limitata dall'abilità e dall'immaginazione dell'aggressore e, in misura minore, dalle contromisure di difesa approfondite, come connessioni con privilegi bassi al server del database e così via. In generale, considera SQL Injection una gravità ad alto impatto.

Neutralizzazione impropria

Il Vulnerability Database (NVD) degli Stati Uniti ha pubblicato un avviso sulla vulnerabilità in cui descriveva il motivo della vulnerabilità come una "neutralizzazione impropria".

La neutralizzazione è un riferimento a un processo volto a garantire che tutto ciò che viene immesso in un'applicazione (come un modulo di contatto) sarà limitato a quanto previsto e non consentirà nient'altro rispetto a quanto previsto.

La corretta neutralizzazione di un modulo di contatto significa che non consentirà un comando SQL.

Il database delle vulnerabilità degli Stati Uniti ha descritto la vulnerabilità:

“Neutralizzazione impropria degli elementi speciali utilizzati in una vulnerabilità del comando SQL (“SQL Injection”) nel modulo di contatto – WPManageNinja LLC Plugin del modulo di contatto – Il plug-in più veloce per la creazione di moduli di contatto per WordPress di Fluent Forms fluentform consente l'iniezione di SQL.

Questo problema riguarda il plugin dei moduli di contatto – Il plugin più veloce per la creazione di moduli di contatto per WordPress di Fluent Forms: da n/a fino alla versione 4.3.25."

La società di sicurezza Patchstack ha scoperto e segnalato la vulnerabilità agli sviluppatori del plugin.

Secondo Patchstack:

“Ciò potrebbe consentire a un attore malintenzionato di interagire direttamente con il tuo database, incluso ma non limitato al furto di informazioni.

Questa vulnerabilità è stata risolta nella versione 5.0.0.”

Sebbene l'avviso di Patchstack affermi che la vulnerabilità è stata risolta nella versione 5.0.0, non vi è alcuna indicazione di una correzione di sicurezza secondo il registro delle modifiche di Fluent Form Contact Form Builder, dove le modifiche al software vengono regolarmente registrate.

Questa è la voce del log delle modifiche di Fluent Forms Contact Form Builder per la versione 5.0.0:

  • “5.0.0 (DATA: 22 GIUGNO 2023)
    UI rinnovata e UX migliore
  • Miglioramento globale dello styler
  • Il nuovo framework per una risposta più rapida
  • Risolto il problema con il campo ripetitore che non veniva visualizzato correttamente sul PDF
  • Risolto il problema con WPForm Migrator che non trasferiva correttamente i campi di testo in campi di input di testo con la lunghezza massima del testo corretta
  • Risolto il problema con la migrazione delle voci
  • Formato numerico fisso nei file PDF
  • Risolto il problema relativo all'etichetta del campo radio
  • Aggiornate le rotte dell'Ajax alle Rest Routes
  • Convenzione di denominazione dei filtri e degli hook di azione aggiornata con il supporto degli hook più vecchi
  • Stringhe di traduzione aggiornate”

È possibile che una di queste voci sia la correzione. Ma alcuni sviluppatori di plugin vogliono mantenere segrete le correzioni di sicurezza, per qualsiasi motivo.

Raccomandazioni:

Si consiglia agli utenti del modulo di contatto di aggiornare il proprio plugin il prima possibile.

Immagine in primo piano di Shutterstock/Kues

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?