jueves, marzo 28, 2024
No menu items!
InicioBlogsVulnerabilidad del complemento WordPress de Ninja Forms

Vulnerabilidad del complemento WordPress de Ninja Forms

El popular complemento de formularios de WordPress Ninja Form actualizó recientemente su complemento para parchear una vulnerabilidad grave. La vulnerabilidad se clasifica como de alta gravedad porque podría permitir que un atacante robe el acceso a nivel de administrador y se apodere de todo el sitio web.

Vulnerabilidad de falsificación de solicitudes entre sitios

El exploit que está causando esto se llama falsificación de solicitudes entre sitios. Este tipo de vulnerabilidad explota la falta de una verificación de seguridad normal que luego permite a un atacante cargar o reemplazar archivos e incluso obtener acceso administrativo.

Así es como el sitio de Enumeración de Debilidad Común describe este tipo de vulnerabilidad:

“La aplicación web no verifica o no puede verificar suficientemente si el usuario que envió la solicitud proporcionó intencionalmente una solicitud válida, consistente y bien formada.

… podría ser posible que un atacante engañe a un cliente para que haga una solicitud involuntaria al servidor web, que se tratará como una solicitud auténtica. … y puede provocar la exposición de datos o la ejecución involuntaria de código “.

Ninja Forms Vulnerabilidad de alta gravedad

WordFence WordPress Security descubrió el exploit e inmediatamente notificó a los editores del complemento Ninja Forms WordPress. Ninja Forms parchó inmediatamente la vulnerabilidad de seguridad en 24 horas.

Según WordFence, la vulnerabilidad estaba contenida en un modo “heredado” que controlaba las características de estilo que volvían a una versión anterior. Es esta parte del código la que se vio afectada.

🔥 Leer:  ¿Cómo dejar juegos personalizados en Valorant?

Así es como lo describe WordFence:

“Si bien todas estas funciones utilizaron las comprobaciones de capacidad, dos de las funciones no pudieron comprobar nonces, que se utilizan para verificar que una solicitud fue enviada intencionalmente por un usuario legítimo.

… un script malicioso ejecutado en el navegador de un Administrador podría usarse para agregar nuevas cuentas administrativas, lo que llevaría a la toma de control completa del sitio, mientras que un script malicioso ejecutado en el navegador de un visitante podría usarse para redirigir a ese visitante a un sitio malicioso “

Ninja Forms Changelog

Los editores del complemento Ninja Forms actualizaron responsablemente su complemento de manera oportuna. También reflejaron honestamente de qué se trataba la actualización en su registro de cambios.

Un registro de cambios es una explicación de lo que ha cambiado en una actualización de software. Algunos fabricantes de complementos intentan ocultar de qué se trataba la actualización sin mencionar las vulnerabilidades.

Ninja Forms informó honestamente de qué se trataba la actualización. Esto es muy importante para los editores porque les alerta sobre si algo debe actualizarse inmediatamente o si puede esperar.

Esto muestra que Ninja Forms es un editor de plugins de WordPress confiable y responsable.

Actualizar Ninja Forms ahora

Se insta a todos los editores que utilizan Ninja Forms a actualizar inmediatamente su complemento Ninja Forms. Ninja Forms Version 3.4.24.2 es la última versión. Si tiene una versión anterior, debe actualizar su complemento para evitar esta vulnerabilidad grave.

Lea el informe de WordFence sobre la vulnerabilidad aquí:

Vulnerabilidad de alta gravedad parcheada en formularios Ninja

🔥 Leer:  Cómo instalar horarios de oración e Imsak en la pantalla de bloqueo del teléfono Oppo

Más recursos

Recomendamos

Populares