Фінський дослідник Йоукі Пюнненен (Jouko Pynnönen) виявив ряд вразливостей в популярному плагіні Formidable Forms для WordPress, що дозволяють зловмисникові отримати доступ до конфіденційних даних і перехопити контроль над цільовим ресурсом.
Про це 18 листопада 2017 року повідомляє сайт «Internetua».
Найнебезпечніша з них - вразливість типу Blind SQL-injection (сліпа SQL-ін'єкція), проексплуатувати яку атакуючі можуть отримати доступ до контенту баз даних цільового сайту, в тому числі облікових даних і інформації, введеної через форми, створені за допомогою Formidable Forms. Крім зазначеної, дослідник виявив ще одну уразливість, що дозволяє отримати доступ до даних. Обидві проблеми пов'язані з реалізацією в плагіні шорткодов (shortcode) WordPress - спеціальних кодів, що дозволяють власникам сайтів додавати різний контент.
У числі інших Пюнненен виявив кілька XSS-вразливостей, одна з яких дозволяла атакуючому виконати довільний код JavaScript в контексті сесії адміністратора в браузері. Експерт також зауважив, що при наявності плагіна iThemes Sync WordPress атакуючий може проексплуатувати вищеописану вразливість, що дозволяє впровадити SQL-код, і отримати свій код користувача і ключ для аутентифікації. Дана інформація може використовуватися для управління сайтом через iThemes Sync WordPress, в тому числі додавання нових адміністраторів або установки плагінів.
Розробник Formidable Forms усунув уразливості з випуском версій 2.05.02 і 2.05.03. Автори iThemes Sync не розглядають описаний дослідником вектор атаки як загрозу безпеці і тому не мають наміру випускати патч.
Formidable Forms - плагін для створення контактних форм. Включає в себе розширені можливості для створення повідомлень, сторінок і призначених для користувача типів повідомлень з формами, а також можливість управляти і редагувати їх. За наявними даними, число користувачів плагіна перевищує 200 тис.