Se relaciona con un caso de inyección de código en Ninja Forms
Los sitios web de WordPress que utilizan un plugin ampliamente utilizado llamado Ninja Forms se han actualizado automáticamente para remediar una vulnerabilidad de seguridad crítica que se sospecha que se ha explotado activamente en la naturaleza.
El problema, que se relaciona con un caso de inyección de código, tiene una calificación de 9,8 sobre 10 en cuanto a gravedad y afecta a varias versiones a partir de la 3.0. Se ha corregido en 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11.
Ninja Forms es un generador de formularios de contacto personalizable que tiene más de 1 millón de instalaciones.
Según Wordfence, el error "hizo posible que los atacantes no autenticados llamaran a un número limitado de métodos en varias clases de Ninja Forms, incluido un método que no serializaba el contenido proporcionado por el usuario, lo que resultaba en la inyección de objetos".
"Esto podría permitir a los atacantes ejecutar código arbitrario o eliminar archivos arbitrarios en sitios donde estaba presente una cadena separada [de programación orientada a la propiedad]", señaló Chloe Chamberland de Wordfence.
La explotación exitosa de la falla podría permitir que un atacante logre la ejecución remota de código y se apodere por completo de un sitio vulnerable de WordPress.
Se recomienda a los usuarios de Ninja Forms que se aseguren de que sus sitios de WordPress estén actualizados para ejecutar la última versión parcheada para evitar posibles intentos de explotación en la naturaleza.
