Hoy queremos ponerlos al tanto de una situación preocupante que afecta a uno de los complementos más populares en la plataforma: Ninja Forms. Este complemento, utilizado ampliamente para crear formularios en WordPress, ha sido afectado por tres vulnerabilidades críticas que podrían comprometer la seguridad y privacidad de nuestros sitios.
Las alarmas fueron encendidas por el equipo de investigadores de Patchstack, quienes descubrieron estas fallas y las reportaron al desarrollador del complemento, Saturday Drive, el 22 de junio. Las vulnerabilidades en cuestión afectan a las versiones 3.6.25 y anteriores de Ninja Forms y han sido abordadas en la versión 3.6.26, lanzada el 4 de julio.
Vamos a profundizar en los detalles de estas vulnerabilidades:
- CVE-2023-37979: Se trata de una falla de secuencias de comandos entre sitios (XSS) reflejada basada en POST, que permite a usuarios no autenticados escalar sus privilegios y robar información. Esto ocurre al engañar a usuarios con privilegios para que visiten una página web especialmente diseñada. Como resultado, los atacantes podrían obtener acceso a información sensible y realizar acciones maliciosas.
- CVE-2023-38393 y CVE-2023-38386: Estas vulnerabilidades están relacionadas con problemas en el control de acceso en la función de exportación de envíos de formularios del complemento. Esto permite que suscriptores y colaboradores exporten todos los datos enviados por usuarios en el sitio de WordPress afectado. Esta situación podría comprometer la privacidad de los datos de nuestros usuarios y ser un riesgo para la integridad de nuestro sitio.
Es esencial tomar medidas para proteger nuestros sitios WordPress. Si estás utilizando Ninja Forms, te recomendamos encarecidamente que actualices a la versión más reciente (3.6.26) para corregir estas vulnerabilidades y asegurarte de que tu sitio esté protegido. La seguridad de nuestros usuarios y la protección de sus datos deben ser nuestra máxima prioridad.
Recuerda, mantener todos nuestros complementos y temas actualizados es fundamental para garantizar un entorno en línea seguro y confiable para todos. Agradecemos el rápido actuar del equipo de desarrollo de Ninja Forms para solucionar estos problemas, pero ahora la responsabilidad recae en nosotros, los usuarios, de aplicar las actualizaciones necesarias.
Juntos podemos mantener nuestra comunidad de WordPress segura. Mantengamos nuestros ojos abiertos ante posibles amenazas y actuemos de manera proactiva para proteger nuestros sitios y la información valiosa que albergan.