CVE-2023-6842

Formidable Forms – plugin de formulários de contato, pesquisa, questionário, pagamento, calculadora e criador de formulários personalizados para versões do WordPress até a 6.7

O problema está relacionado a um ataque de Stored Cross-Site Scripting (XSS) por meio dos parâmetros de rótulo do campo name e do campo description, devido à sanitização insuficiente de entradas e à falta de escapamento de saídas. Isso permite que invasores autenticados com acesso de nível de administrador injetem scripts web arbitrários em páginas que serão executados sempre que um usuário acessar uma página infectada. A vulnerabilidade afeta principalmente instalações multisite e instalações nas quais o unfiltered html foi desativado. No entanto, ela também pode ser explorada por usuários de nível inferior, caso tenham recebido as permissões adequadas nas configurações do Formidable.

Para versões até a 6.7, atualize para uma versão posterior à 6.7 para resolver o problema.

Como solução temporária, considere restringir a criação de formulários, a exclusão e outras permissões de gerenciamento apenas a usuários com nível de administrador até que um patch esteja disponível.

Restrinja o acesso aos parâmetros de rótulo do campo name e rótulo do campo description para minimizar o risco de exploração.