Hackear los sitio webs de Wordpress a través de vulnerabilidades en el complemento Ninja Forms

Ha salido a la luz que el complemento Ninja Forms para WordPress tiene muchas fallas de seguridad que podrían ser abusadas por actores malintencionados para obtener acceso elevado y robar datos confidenciales.

Según un informe publicado por Patchstack hace una semana, las vulnerabilidades, que se enumeran como CVE-2023-37979, CVE-2023-38386 y CVE-2023-38393, afectan a las versiones 3.6.25 y anteriores. Ahora hay más de 800.000 sitios web que utilizan Ninja Forms.

La siguiente es una explicación resumida de cada una de las vulnerabilidades:

CVE-2023-37979 es un problema de cross-site scripting (XSS) basado en POST que tiene una puntuación CVSS de 7,1. Es una vulnerabilidad que podría permitir a cualquier usuario no autenticado lograr una escalada de privilegios en un sitio objetivo de WordPress al persuadir a los usuarios privilegiados para que visiten un sitio web que ha sido construido específicamente para ese propósito. Esto puede ser utilizado por un usuario no autenticado en su beneficio para robar información crítica y, en este caso, escalar sus privilegios en el sitio web de WordPress. El atacante puede desencadenar la vulnerabilidad si se engaña a los usuarios privilegiados para que visiten un sitio web especialmente construido.

El control de acceso fallido en la funcionalidad de exportación de envíos de formularios es la fuente de las vulnerabilidades segunda y tercera, que se rastrean como CVE-2023-38393 y CVE-2023-38386 respectivamente. Los usuarios con los roles de Suscriptor y Colaborador en un sitio de WordPress pueden aprovechar las vulnerabilidades para exportar todos los envíos de Ninja Forms en el sitio web.

Se recomienda encarecidamente a los usuarios del complemento que actualicen a la versión 3.6.26 para protegerse contra posibles peligros.

Jarvis Wagner

Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Hackear los sitio webs de WordPress a través de vulnerabilidades en el complemento Ninja Forms

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD