Problema de seguridad en el plugin Ninja Form, de WordPress. Sí, una vez más.

formas ninja

Ninja Form es una de las extensiones de formulario más utilizadas en el mundo. Tiene más de un millón de instalaciones, y ha sido la opción preferida por los creadores de sitios web que deciden utilizar WordPress como CMS durante muchos años.

El caso es que no por ser muy popular está libre de errores, y de hecho un problema muy serio se ha identificado en las versiones anteriores a la 3.4.34.

El complemento de WordPress Ninja Forms tenía múltiples vulnerabilidades:

– Una permitía que los atacantes redirigieran a los administrativos del sitio a arbitraryrias.
– Otra permitía que los atacantes con acceso de nivel de subscriptor o superior instalaran un complemento que podría usar para interceptar todo el tráfico de correo.
– El tercero permite a los atacantes con acceso de nivel de suscriptor recuperar la clave de conexión OAuth de Ninja Forms que podría usarse para establecer una conexión con el panel de administración central de Ninja Forms. Esto hizo posible que los atacantes desconectaran la conexión OAuth del sitio si podían engañar al administrador del sitio para que realizara una acción. Estos errores podrían usarse para cargar un sitio de WordPress y redirigir a propietarios de sitios maliciosos.

Según comentó, los problemas se solucionaron con la reciente versión 3.4.34, por lo que si tenéis el plugin desactualizado, solucionad el tema ahora mismo.

Cada vez son más los plugins que muestran errores de seguridad que pueden ser aprovechados cuando hay usuarios con nivel de suscripción. Un hacker puede suscribirse a una web y desde dentro realizar muchas más acciones que si solo es un lector de la parte pública, por lo que no bráis esta opción ni no es estrictamente necesaria.

Ninja form ya asustó a medio mundo con problemas de seguridad identificados en mayo de 2020. Ahora la historia se repite.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!