Sitemap

Vulnerabilidad del complemento Ninja Forms

El popular complemento de formularios de WordPress Ninja Form actualizó recientemente su complemento para parchear una vulnerabilidad grave.La vulnerabilidad tiene una gravedad alta porque podría permitir que un atacante robe el acceso de nivel de administrador y se apodere de todo el sitio web.

Vulnerabilidad de falsificación de solicitudes entre sitios

El exploit que está causando esto se llama Cross-Site Request Forgery.Este tipo de vulnerabilidad aprovecha la falta de un control de seguridad normal que luego permite que un atacante cargue o reemplace archivos e incluso obtenga acceso administrativo.

Así es como el sitio Common Weakness Enumeration describe este tipo de exploit:

“La aplicación web no verifica, o no puede, de manera suficiente si el usuario que envió la solicitud proporcionó intencionalmente una solicitud coherente, válida y bien formada.

…podría ser posible que un atacante engañe a un cliente para que realice una solicitud no intencional al servidor web que será tratada como una solicitud auténtica. …y puede dar como resultado la exposición de datos o la ejecución no deseada de código”.

Vulnerabilidad de alta gravedad de formas ninja

WordFence WordPress Security descubrió el exploit e inmediatamente notificó a los editores del complemento Ninja Forms WordPress.Ninja Forms corrigió inmediatamente la vulnerabilidad de seguridad en 24 horas.

Según WordFence, la vulnerabilidad estaba contenida en un modo "heredado" que controlaba las funciones de estilo que volvían a una versión anterior.Es esta parte del código la que se vio afectada.

Así lo describe WordFence:

“Si bien todas estas funciones utilizaron controles de capacidad, dos de las funciones no pudieron verificar los nonces, que se utilizan para verificar que un usuario legítimo envió intencionalmente una solicitud.

… un script malicioso ejecutado en el navegador de un administrador podría usarse para agregar nuevas cuentas administrativas, lo que llevaría a la toma completa del sitio, mientras que un script malicioso ejecutado en el navegador de un visitante podría usarse para redirigir a ese visitante a un sitio malicioso”.

Registro de cambios de formas ninja

Los editores del complemento Ninja Forms actualizaron responsablemente su complemento de manera oportuna.También reflejaron honestamente de qué se trataba la actualización en su registro de cambios.

Un registro de cambios es una explicación de lo que ha cambiado en una actualización de software.Algunos fabricantes de complementos intentan ocultar de qué se trataba la actualización al no mencionar las vulnerabilidades.

Ninja Forms informó honestamente de qué se trataba la actualización.Esto es muy importante para los editores porque les avisa si algo debe actualizarse inmediatamente o si puede esperar.

Esto demuestra que Ninja Forms es un editor de complementos de WordPress confiable y responsable.

Actualizar formularios ninja ahora

Se insta a todos los editores que utilizan Ninja Forms a actualizar inmediatamente su complemento Ninja Forms.Ninja Forms versión 3.4.24.2 es la última versión.Si tiene una versión anterior, debe actualizar su complemento para evitar esta grave vulnerabilidad.

Lea el informe de WordFence sobre la vulnerabilidad aquí:

Vulnerabilidad de alta gravedad parcheada en formas Ninja

Más recursos