Un complemento de creación de formularios muy popular para el creador de sitios web de WordPress (se abre en una pestaña nueva) con más de un millón de instalaciones es vulnerable a una falla de alta gravedad que podría permitir a los actores de amenazas tomar el control completo del sitio web.
Ninja Forms ha lanzado recientemente un nuevo parche que, cuando se realizó ingeniería inversa, incluía una vulnerabilidad de inyección de código. (se abre en una pestaña nueva) que afectó a todas las versiones desde la 3.0 en adelante.
Según la líder de inteligencia de amenazas de Wordfence, Chloe Chamberland, la ejecución remota de código a través de la deserialización permite a los actores de amenazas apoderarse por completo de un sitio vulnerable.
Evidencia de abuso
“Descubrimos una vulnerabilidad de inyección de código que hizo posible que los atacantes no autenticados llamaran a un número limitado de métodos en varias clases de Ninja Forms, incluido un método que no serializaba el contenido proporcionado por el usuario, lo que resultaba en la inyección de objetos”, dijo Chamberland.
“Esto podría permitir a los atacantes ejecutar código arbitrario (se abre en una pestaña nueva) o elimine archivos arbitrarios en sitios donde estaba presente una cadena POP separada”.
Para empeorar aún más las cosas, se observó que se abusaba de la falla en la naturaleza, descubrió Wordfence.
El parche fue empujado a la fuerza a la mayoría de los sitios afectados, BleepingEquipo más encontrado. En cuanto a las estadísticas de descarga del parche, ya se han parcheado más de 730 000 sitios web. Si bien el número es alentador, todavía deja cientos de miles de sitios vulnerables.
Aquellos que usan Ninja Forms y aún no lo han actualizado, deben aplicar la corrección manualmente, tan pronto como sea posible. Eso se puede hacer desde el tablero, y los administradores deben asegurarse de que su complemento esté actualizado a la versión 3.6.11.
Esta no es la primera vez que se encuentra una falla de alta gravedad en Ninja Forms. Hace aproximadamente dos años, se descubrió que todas las versiones del complemento hasta la 3.4.24.2 se habían visto afectadas por la vulnerabilidad Cross-Site Request Forgery (CSRF). Este podría haberse utilizado para lanzar ataques de secuencias de comandos entre sitios almacenados (XSS almacenados) en el WordPress del usuario. (se abre en una pestaña nueva) sitios, esencialmente haciéndolos cargo.
Vía: BleepingComputer (se abre en una pestaña nueva)