Ninja Form es una de las extensiones de formularios más utilizadas en todo mundo. Cuenta con más de un millón de instalaciones, y lleva muchos años siendo la opción preferida de los creadores de sitios web que deciden usar WordPress como CMS.
El caso es que no por ser muy popular está libre de errores, y de hecho un problema muy serio se ha identificado en las versiones anteriores a la 3.4.34.
El complemento de WordPress Ninja Forms tenía múltiples vulnerabilidades:
– Una permitía que los atacantes redirigieran a los administradores del sitio a ubicaciones arbitrarias.
– Otra permitía que los atacantes con acceso de nivel de suscriptor o superior instalaran un complemento que podría usarse para interceptar todo el tráfico de correo.
– La tercera permitía que los atacantes con acceso de nivel de suscriptor recuperaran la Clave de conexión OAuth de Ninja Form que podría usarse para establecer una conexión con el panel de administración central de Ninja Forms. Esto hizo posible que los atacantes desconectaran la conexión OAuth de un sitio si podían engañar al administrador del sitio para que realizara una acción. Estos errores podrían usarse para hacerse cargo de un sitio de WordPress y redirigir a los propietarios de sitios a sitios maliciosos.
Como he comentado, los problemas se solucionaron con la versión 3.4.34 reciente, por lo que si tenéis el plugin desactualizado, solucionad el tema ahora mismo.
Cada vez son más los plugins que muestran errores de seguridad que pueden aprovecharse cuando hay usuarios con nivel de suscripción. Un hacker puede suscribirse en una web y desde dentro realizar muchas más acciones que si solo es un lector de la parte pública, por lo que no abráis esta opción ni no es estrictamente necesario.
Ninja forms ya asustó a medio mundo con problemas de seguridad identificados en mayo de 2020. Ahora la historia se repite.