No dia 2 de março de 2021 a equipe de inteligência do Wordfence relatou para equipe de desenvolvimento do plugin WP Fluent Forms uma vulnerabilidade que permitia ataque de Cross-Site Scripting (XSS) armazenado, que se explorado com êxito poderia ser usado para assumir o controle total do site.
Após entrarem em contato a equipe do Wordfence recebeu uma resposta em 24 horas, e no dia 5 de março a equipe WP Manage Ninja, desenvolvedora do plugin lançou uma versão 3.6.67 com a correção da vulnerabilidade.
Como não foi possível bloquear ataques contra esta vulnerabilidade sem interferir na funcionalidade básica do plugin, a equipe do Wordfence evitou compartilhar detalhes da vulnerabilidade até que a maioria dos sites que usam estivessem atualizados. No entanto, eles não esperam ataques em grande escala, pois a vulnerabilidade requer engenharia social para que seja explorada.
WP Fluent Forms é um plugin popular que permite aos proprietários de sites criar e gerenciar facilmente formulários de contato.
É altamente recomendável a atualização do plugin para a versão mais recente.
Fonte: Wordfence
