Vulnerabilidad crítica en plugin Ninja Forms para Wordpress
AS-059-2022
Fecha: 17/Jun/2022
Resumen:
El grupo Wordfence Threat Intelligence revisó el plugin Ninja Forms, un complemento de WordPress con más de un millón de instalaciones activas. Y descubrieron una vulnerabilidad de inyección de código que permite que los atacantes no autenticados llamen a una cantidad limitada de métodos en varias clases de Ninja Forms, incluido un método que no serializaba el contenido proporcionado por el usuario, lo que resultaba en la inyección de objetos. Esto podría permitir a los atacantes ejecutar código arbitrario o eliminar archivos arbitrarios en sitios donde estaba presente una cadena POP separada.
Hay evidencia que sugiere que esta vulnerabilidad se está explotando activamente, este defecto se ha reparado en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11. Al parecer WordPress.com ha realizado una actualización automática forzada para este complemento. En este sentido se recomienda actualizar el plugin a una de las versiones parcheadas lo antes posible, ya que las actualizaciones automáticas no siempre funcionan correctamente.
La vulnerabilidad es catalogada como crítica y se enfatiza en la necesidad de aploicar las medidas de contingencia necesarias para prevenir una explotación.
Referencia:
https://thehackernews.com/2022/06/over-million-wordpress-sites-forcibly.html
