Популярный плагин Formidable Forms, доступный как в бесплатном, так и в платном вариантах, насчитывает более 200 000 активных установок. Плагин предлагает владельцам сайтов инструмент для создания контактных страниц, опросов, голосований и других форм. Известный финский исследователь Йоко Пайнненен (Jouko Pynnönen), специалист компании Klikki Oy, предупредил о ряде критических проблем, которые ему удалось обнаружить в данном продукте.
Самой опасной из найденных проблем стала уязвимость перед SQL-инъекциями, позволяющая атакующему извлечь содержимое БД различных сайтов, включая учетные данные пользователей WordPress и информацию, добавленную через формы Formidable. Также исследователь пишет, что данные из форм позволяет извлекать еще один баг, связанный с работой шорткодов.
Кроме того, специалист обнаружил сразу несколько XSS-уязвимостей, позволяющих выполнить вредоносный код JavaScript в контексте сессии администратора. По сути, злоумышленник осуществляет инжект вредоносного кода через уязвимую форму, и тот выполняется, когда администратор ресурса просматривает его через панель управления WordPress.
Также, по словам аналитика, вышеупомянутая SQL-уязвимость в Formidable Forms представляет опасность и для другого плагина, iThemes Sync. С помощью этого бага злоумышленник может узнать чужой user ID и аутентификационный ключ, а затем использовать эти знания для управления WordPress через iThemes Sync. Преступник получает возможность добавлять новых администраторов и устанавливать плагины.
Разработчики Formidable Forms уже устранили все найденные Пайннененом баги, выпустив обновленные версии плагина (2.05.02 и 2.05.03). Авторы iThemes Sync, в свою очередь, отказались признать уязвимостью, описанный специалистом метод атак, так что в данном случае патча ожидать не стоит.
Стоит заметить, что неназванная сингапурская компания предложила исследователю получить вознаграждение за обнаружение проблем через bug boutny программу на платформе HackerOne. Дело в том, что компания использует в своей работе Formidable Forms и найденные уязвимости могли иметь для бизнеса катастрофические последствия. В итоге, за SQL-уязвимость Пайнненену заплатили 4500 долларов, а за остальные бреши по несколько сотен долларов. Впрочем, специалист пишет, что остался недоволен сотрудничеством, так как неназванная сингапурская организация снизила статус SQL-уязвимости с critical до high, а с этим Пайнненен категорически не согласен.