Ninja Forms es un complemento de WordPress con más de un millón de instalaciones activas, lo que significa que hay más de un millón de sitios web cuyos formularios de contacto están usando su tecnología.
Ahora el equipo de Wordfence Threat Intelligence ha publicado un artículo donde detalla una actualización de seguridad realizada, una tan importante que no puede pasar de largo, por lo que si usas Ninja Forms, una excelente solución, por cierto, es importante que uses la última versión para evitar problemas.
Se trata de una vulnerabilidad de inyección de código, lo que significa que los atacantes pueden realizar llamadas a diversos métodos en varias clases de Ninja Forms, burlando el proceso normal que haría un usuario. De esta forma el hacker podría ejecutar código arbitrario o eliminar archivos arbitrarios del sitio web donde estaba instalado.
Actualmente hay casos probados que indican que esta vulnerabilidad se está explotando activamente, por eso desde Wordfence están avisando a los usuarios (aunque no todo el mundo usa Wordfence).
Ninja Forms ayuda a crear formularios fácilmente personalizables, y permite añadir «Etiquetas de combinación» para que se completen automáticamente los valores de otras áreas de WordPress, como ID de publicación y nombres de usuarios registrados. Esta era la función que tenía problemas, la que ha necesitado reformularse.
El problema ya está solucionado en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11, y parece que WordPress ha realizado una actualización automática forzada para este complemento, pero es importante verificarlo.
Los detalles del problema están en este artículo, donde concluyen lo mismo que nosotros: actualizad antes de que sea demasiado tarde.