El mundo de WordPress, uno de los sistemas de gestión de contenido más populares del mundo, está repleto de una gran cantidad de complementos y herramientas que amplían sus capacidades y funcionalidades. Entre estos, uno de los más conocidos es Ninja Forms, una solución versátil y poderosa para la creación de formularios. Sin embargo, recientemente, se han descubierto tres vulnerabilidades críticas en este popular complemento, que podrían tener graves consecuencias para los usuarios y propietarios de sitios web.
Fue el equipo de investigadores de Patchstack quienes descubrieron y expusieron estas vulnerabilidades a los desarrolladores de Ninja Forms, Saturday Drive, el 22 de junio de 2023. Los expertos advirtieron que las versiones 3.6.25 y anteriores del complemento se veían afectadas por estos problemas de seguridad.
Ninja Forms: 3 vulnerabilidades reveladas por Patchstack
1. CVE-2023-37979 – Falla XSS Reflejada: Esta vulnerabilidad permite a usuarios no autenticados escalar sus privilegios y robar información al engañar a usuarios con mayores permisos para que visiten una página web especialmente diseñada. Es decir, se trata de una vulnerabilidad de cross-site scripting que podría ser aprovechada para llevar a cabo ataques maliciosos.
2. CVE-2023-38393 – Problema de Control de Acceso en Exportación de Envíos: En este caso, los problemas de control de acceso en la función de exportación de envíos de formularios permiten que suscriptores y colaboradores exporten todos los datos que los usuarios han enviado en el sitio de WordPress afectado. Esto significa que usuarios con roles de acceso limitado podrían tener acceso a información confidencial.
3. CVE-2023-38386 – Otra Vulnerabilidad de Control de Acceso en Exportación de Envíos: Esta segunda vulnerabilidad de control de acceso en la función de exportación de envíos presenta un riesgo adicional para sitios web que admiten registros de usuarios y membresías. Usuarios con roles de Suscriptor pueden explotar esta falla y causar incidentes masivos de violación de datos, especialmente si están utilizando una versión vulnerable de Ninja Forms.
Los desarrolladores de Saturday Drive respondieron rápidamente a los informes de vulnerabilidades y lanzaron la versión 3.6.26 el 4 de julio de 2023, la cual aborda estos problemas.
Sin embargo, las estadísticas de WordPress.org revelan que solo alrededor de la mitad de los usuarios de Ninja Forms han descargado la última versión, dejando a aproximadamente 400,000 sitios web vulnerables a los ataques.
La gravedad de CVE-2023-38393 es particularmente preocupante, ya que puede ser explotada fácilmente por un usuario con el rol de Suscriptor. Esta situación resalta la importancia de actualizar a la versión 3.6.26 o posterior lo antes posible.
Si no es posible realizar la actualización de inmediato, se recomienda deshabilitar el complemento hasta que se pueda aplicar el parche. Es crucial que los administradores de sitios web sean conscientes de estas vulnerabilidades y tomen medidas inmediatas para proteger sus plataformas y los datos de sus usuarios.
Patchstack ha proporcionado detalles técnicos exhaustivos sobre estas fallas, lo que podría hacer que los actores de amenazas informados intenten explotarlas. Por lo tanto, la prevención y la rápida respuesta son fundamentales para mantener la seguridad de los sitios que utilizan Ninja Forms.
No te pierdas:
