Los que usan formularios en Wordpress gracias al plugin de Ninja Forms, uno de los más usados en todo el mundo, tienen que tener un extra de precaución a partir de ahora.
El plugin tiene un problema de seguridad que podría usarse para robar un sitio web mediante la creación de nuevas cuentas de administrador.
Ninja Forms es un creador de formularios de contacto con el que podemos crearlos arrastrando y soltando elementos. Cuenta con más de 20 millones de descargas, y su vulnerabilidad se reveló públicamente el 29 de abril por parte del equipo de Wordfence Threat Intelligence.
Según el investigador de ciberseguridad Ramuel Gall, es un error de alta gravedad en el sistema de modo «heredado» de Ninja Forms, un modo que permite a los usuarios seleccionar estilos y características basadas en una versión anterior del complemento, la versión 2.9.
Existen formularios Ajax que facilitan la transferencia de formularios y campos entre las opciones de modo heredado y los modos predeterminados, sin embargo, dos de las funciones no pudieron validar las solicitudes correctamente y una de las funciones, ninja_forms_ajax_import_form, también permitió la importación de HTML personalizado.
De esta forma un atacante puede engañar al sistema y crear una cuenta de administrador, falsificando una sesión de administrador e importando un formulario de contacto malicioso para reemplazar los scripts legítimos existentes.
El defecto de seguridad se informó a Ninja Forms el día del descubrimiento, el 27 de abril, y varias horas después, el desarrollador del complemento informó al equipo de Wordfence que se estaba preparando una solución. El 28 de abril, el parche de seguridad se lanzó como Ninja Forms versión 3.4.24.2. Los usuarios del complemento deben asegurarse de que estén ejecutando la última versión del complemento para mantenerse protegidos.