Un complemento de creación de formularios extremadamente popular para el creador de sitios web de WordPress (se abre en una nueva pestaña) con más de un millón de instalaciones es vulnerable a una falla de alta gravedad que podría permitir que los actores de amenazas tomen el control total del sitio web.

Ninja Forms lanzó recientemente un nuevo parche que, cuando se realizó ingeniería inversa, incluyó una vulnerabilidad de inyección de código (se abre en una nueva pestaña) que afectó a todas las versiones a partir de la versión 3.0.

Según Chloe Chamberland, gerente de inteligencia de amenazas en Wordfence, la ejecución remota de código a través de la deserialización permite a los piratas informáticos tomar el control total de un sitio vulnerable.

Evidencia de abuso

«Descubrimos una vulnerabilidad de inyección de código que permitía a los atacantes no autenticados llamar a un número limitado de métodos en varias clases de Ninja Forms, incluido un método que deserializaba el contenido proporcionado por el usuario, lo que provocaba la inyección de objetos», dijo Chamberland.

«Esto podría permitir a los atacantes ejecutar código arbitrario (se abre en una nueva pestaña) o eliminar archivos arbitrarios en sitios donde estaba presente una cadena POP distinta».

Para empeorar las cosas, se ha observado que se abusa de la falla en la naturaleza, descubrió Wordfence.

El parche fue empujado a la fuerza en la mayoría de los sitios afectados, descubrió BleepingComputer. En cuanto a las estadísticas de descarga de parches, ya se han parcheado más de 730 000 sitios web. Aunque el número es alentador, todavía deja vulnerables a cientos de miles de sitios.

Aquellos que usan Ninja Forms y aún no han actualizado deben aplicar el parche manualmente, tan pronto como sea posible. Esto se puede hacer desde el tablero y los administradores deben asegurarse de que su complemento esté actualizado a la versión 3.6.11.

Esta no es la primera vez que se descubre una falla muy grave en Ninja Forms. Hace aproximadamente dos años, se descubrió que todas las versiones del complemento hasta la 3.4.24.2 estaban afectadas por la vulnerabilidad Cross-Site Request Forgery (CSRF). Esto podría haberse utilizado para lanzar ataques de secuencias de comandos entre sitios almacenados (XSS almacenados) en los sitios de WordPress (se abre en una nueva pestaña) del usuario, esencialmente apoderándose de ellos.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to