Especialistas en ciberseguridad notificaron a WordPress la detección de dos vulnerabilidades en el popular plugin Ninja Forms. Acorde al reporte, la explotación exitosa de las fallas podría permitir a los hackers maliciosos extraer información confidencial y enviar emails de phishing desde sitios web comprometidos.
El reporte, presentado por Wordfence, menciona que la falla en este plugin con más de un millón de instalaciones activas existe debido a que su principal función para la creación de formas se basa en una implementación insegura del mecanismo que verifica los permisos de un usuario.
Esto quiere decir que, en lugar de garantizar que un usuario que había iniciado sesión tuviera los permisos adecuados para realizar determinadas acciones, Ninja Forms solamente verifica si el usuario ha iniciado sesión o no.
La primera falla, descrita como un error de exportación de envío masivo, permitiría a cualquier usuario que haya iniciado sesión exportar todo lo que se haya enviado alguna vez a uno de los formularios del sitio, sin importar su nivel de privilegios.
Por otra parte, la explotación del segundo error permitía a cualquier usuario enviar un email desde un sitio de WordPress vulnerable a cualquier dirección email. El reporte agrega que las fallas podrían ser fácilmente explotadas con el fin de desplegar una ambiciosa campaña de phishing para engañar a miles de usuarios desprevenidos y forzarlos para realizar acciones maliciosas.
Los investigadores reportaron las vulnerabilidades a Ninja Forms a inicios de agosto y apegándose a los lineamientos establecidos en la comunidad de la ciberseguridad. Los desarrolladores del plugin vulnerable reconocieron los problemas de inmediato y emitieron un parche de seguridad, lanzado junto con Ninja Forms v3.5.8.
Se solicita encarecidamente a los usuarios de versiones comprometidas del plugin instalar las actualizaciones lo más pronto posible. Cabe mencionar que por el momento no se han detectado intentos de explotación activa de estas fallas, aunque los usuarios no deben ignorar los reportes y las actualizaciones.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
