Vulnerabilidad del complemento Ninja Forms en WordPress

El popular complemento de formularios de WordPress Ninja Form recientemente actualizó su complemento para abordar una vulnerabilidad grave. La vulnerabilidad se clasifica como de alta gravedad porque podría permitir que un atacante robe el acceso a nivel de administrador y tome el control de todo el sitio.

Vulnerabilidad de suplantación de solicitudes entre sitios

El exploit que está causando esto se llama falsificación de solicitudes entre sitios. Este tipo de vulnerabilidad explota la falta de un control de seguridad normal que permita a un atacante cargar o reemplazar archivos e incluso obtener acceso administrativo.

Vea cómo el sitio web Common Weakness Enumeration describe este tipo de vulnerabilidad:

“La aplicaci√≥n web no verifica o no puede verificar suficientemente que el usuario que envi√≥ la solicitud proporcion√≥ intencionalmente una solicitud v√°lida, consistente y bien formada.

‚Ķ Es posible que un atacante enga√Īe a un cliente para que haga una solicitud no intencionada al servidor web, que se tratar√° como una solicitud genuina. … y puede provocar la exposici√≥n de datos o la ejecuci√≥n involuntaria del c√≥digo “.

Ninja Forms Vulnerabilidad de alta gravedad

WordFence WordPress Security descubrió el exploit e inmediatamente notificó a los editores del complemento Ninja Forms WordPress. Ninja Forms solucionó de inmediato la vulnerabilidad de seguridad en 24 horas.

Seg√ļn WordFence, la vulnerabilidad estaba contenida en un modo “heredado” que controlaba las caracter√≠sticas de estilo que volv√≠an a una versi√≥n anterior. Esta parte del c√≥digo ha sido afectada.

Así es como lo describe WordFence:

“Si bien todas estas funciones utilizaron verificaciones de capacidad, dos de ellas no pudieron verificar nonces, que se utilizan para verificar que una solicitud haya sido enviada intencionalmente por un usuario legítimo.

‚Ķ Un script malicioso ejecutado en el navegador de un administrador puede usarse para agregar nuevas cuentas administrativas, lo que llevar√≠a a la adquisici√≥n completa del sitio, mientras que un script malicioso ejecutado en el navegador de un visitante puede usarse para redirigir a ese visitante. a un sitio web malicioso “

Captura de pantalla de Ninja Forms Changelog

Ninja Forms Changelog

Los editores del complemento Ninja Forms actualizaron responsablemente el complemento de manera oportuna. También reflexionaron honestamente sobre cuál era la actualización en su registro de cambios.

Un registro de cambios es una explicación de lo que ha cambiado en una actualización de software. Algunos fabricantes de complementos intentan ocultar de qué se trataba la actualización sin mencionar vulnerabilidades.

Ninja Forms informó honestamente de qué se trataba la actualización. Esto es muy importante para los editores, ya que les alerta para saber si algo necesita actualizarse de inmediato o puede esperarse.

Esto muestra que Ninja Forms es un editor de plugins de WordPress confiable y responsable.

Actualiza Ninja Forms ahora

Todos los editores que usan Ninja Forms deben actualizar inmediatamente su complemento Ninja Forms. Ninja Forms Version 3.4.24.2 es la versión más reciente. Si tiene una versión anterior, actualice su complemento para evitar esta vulnerabilidad grave.

Lea el informe de WordFence sobre la vulnerabilidad aquí:

Vulnerabilidad de alta gravedad corregida en formularios Ninja

Más características