Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
El 16 de junio de 2022, el equipo de Wordfence Threat Intelligence notó una actualización de seguridad retroactiva en Ninja Forms, un complemento de WordPress con más de un millón de instalaciones activas.
Se trata de una vulnerabilidad de inyección de código que hizo posible que los atacantes no autenticados llamaran a una cantidad limitada de métodos en varias clases de Ninja Forms, incluido un método que no serializaba el contenido proporcionado por el usuario, lo que resultaba en la inyección de objetos. Esto podría permitir a los atacantes ejecutar código arbitrario o eliminar archivos arbitrarios en sitios donde estaba presente una cadena POP separada.
La explotación exitosa de la falla podría permitir que un atacante logre la ejecución remota de código y se apodere por completo de un sitio vulnerable de WordPress.
Hay evidencia que sugiere que esta vulnerabilidad se está explotando activamente en la naturaleza y, como tal, estamos alertando a nuestros usuarios de inmediato sobre la presencia de esta vulnerabilidad
Recursos afectados
Hay evidencia que sugiere que esta vulnerabilidad se está explotando activamente en la naturaleza y, como tal, estamos alertando a nuestros usuarios de inmediato sobre la presencia de esta vulnerabilidad
Las versiones afectadas son:
WordPress 34.1, 3.3-3.3.21.3, 3.2-3.2.27, 3.1-3.1.9, 3.0-3.0.34.1
Solución
Este defecto se ha solucionado por completo en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11. Parece que WordPress ha realizado una actualización automática forzada para este complemento. por lo que es posible que el sitio configurado con actualizaciones automáticas ya esté utilizando una de las versiones parcheadas.
Recomendaciones
Los usuarios de Ninja Forms deben asegurar sus sitios de WordPress, actualizando a la última versión parcheada lo antes posible, ya que las actualizaciones automáticas no siempre funcionan correctamente.