Vulnerabilidad del complemento WordPress de Ninja Forms

El popular complemento de formularios de WordPress Ninja Form actualizó recientemente su complemento para parchear una vulnerabilidad grave. La vulnerabilidad se clasifica como de alta gravedad porque podría permitir que un atacante robe el acceso a nivel de administrador y se apodere de todo el sitio web.

Vulnerabilidad de falsificación de solicitudes entre sitios

El exploit que está causando esto se llama falsificación de solicitudes entre sitios. Este tipo de vulnerabilidad explota la falta de una verificación de seguridad normal que luego permite a un atacante cargar o reemplazar archivos e incluso obtener acceso administrativo.

As√≠ es como el sitio de Enumeraci√≥n de Debilidad Com√ļn describe este tipo de vulnerabilidad:

“La aplicación web no verifica o no puede verificar suficientemente si el usuario que envió la solicitud proporcionó intencionalmente una solicitud válida, consistente y bien formada.

… podr√≠a ser posible que un atacante enga√Īe a un cliente para que haga una solicitud involuntaria al servidor web, que se tratar√° como una solicitud aut√©ntica. … y puede provocar la exposici√≥n de datos o la ejecuci√≥n involuntaria de c√≥digo ".

Ninja Forms Vulnerabilidad de alta gravedad

WordFence WordPress Security descubrió el exploit e inmediatamente notificó a los editores del complemento Ninja Forms WordPress. Ninja Forms parchó inmediatamente la vulnerabilidad de seguridad en 24 horas.

Seg√ļn WordFence, la vulnerabilidad estaba contenida en un modo "heredado" que controlaba las caracter√≠sticas de estilo que volv√≠an a una versi√≥n anterior. Es esta parte del c√≥digo la que se vio afectada.

Así es como lo describe WordFence:

“Si bien todas estas funciones utilizaron las comprobaciones de capacidad, dos de las funciones no pudieron comprobar nonces, que se utilizan para verificar que una solicitud fue enviada intencionalmente por un usuario legítimo.

… un script malicioso ejecutado en el navegador de un Administrador podr√≠a usarse para agregar nuevas cuentas administrativas, lo que llevar√≠a a la toma de control completa del sitio, mientras que un script malicioso ejecutado en el navegador de un visitante podr√≠a usarse para redirigir a ese visitante a un sitio malicioso "

Captura de pantalla de Ninja Forms Changelog

Ninja Forms Changelog

Los editores del complemento Ninja Forms actualizaron responsablemente su complemento de manera oportuna. También reflejaron honestamente de qué se trataba la actualización en su registro de cambios.

Un registro de cambios es una explicación de lo que ha cambiado en una actualización de software. Algunos fabricantes de complementos intentan ocultar de qué se trataba la actualización sin mencionar las vulnerabilidades.

Ninja Forms informó honestamente de qué se trataba la actualización. Esto es muy importante para los editores porque les alerta sobre si algo debe actualizarse inmediatamente o si puede esperar.

Esto muestra que Ninja Forms es un editor de plugins de WordPress confiable y responsable.

Actualizar Ninja Forms ahora

Se insta a todos los editores que utilizan Ninja Forms a actualizar inmediatamente su complemento Ninja Forms. Ninja Forms Version 3.4.24.2 es la √ļltima versi√≥n. Si tiene una versi√≥n anterior, debe actualizar su complemento para evitar esta vulnerabilidad grave.

Lea el informe de WordFence sobre la vulnerabilidad aquí:

Vulnerabilidad de alta gravedad parcheada en formularios Ninja

M√°s recursos