Contact Form for WordPress – Ultimate Form Builder Lite

Mais um report de Vulnerabilidade encontrada em um Plugin WordPress.

Desta vez a falha foi encontrada no plugin Contact Form for WordPress – Ultimate Form Builder Lite.

A Vulnerabilidade permite que os invasores assumam um site vulnerável usando apenas uma requisição para /wp-admin/admin-ajax.php, combinando uma vulnerabilidade de injeção de SQL e uma vulnerabilidade de injeção de objeto PHP.

Segundo WordPress.org, o plugin possui mais de 50.000 instalações ativas, o que faz com que um grande número de aplicações possam ser afetadas.

O autor do plugin corrigiu esta vulnerabilidade em uma atualização, versão 1.3.7 , que foi lançada em, 21 de outubro.

Como se proteger?

Se você utiliza este plugin, pode se proteger desta vulnerabilidade simplesmente atualizando a versão do plugin instalada em seu WordPress.

Última versão 1.3.7 com a falha corrigida.