Existe una vulnerabilidad crítica que afecta al plugin Ninja Forms de Wordpress, que está siendo explotada activamente y que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.

Recursos afectados:

• Ninja Forms versiones: 3.6-3.6.10, 3.5-3.5.8.3, 3.4-3.4.34.1, 3.3-3.3.21.3, 3.2-3.2.27, 3.1-3.1.9, 3.0-3.0.34.1

Descripción:

La vulnerabilidad sin identificación asignada, con severidad crítica y puntuación asignada de 9.8. Esta vulnerabilidad de inyección de código se debe a un error en el llamado de las funciones NF_MergeTags_Other, o NF_Admin_Processes_ImportForm de Ninja Forms. Esta falla permite llamar a varias clases de Ninja Form que podrían usarse para una amplia gama de exploits dirigidos a sitios vulnerables de WordPress.

Recomendaciones:

WordPress ha realizado una actualización forzada. Verificar que se emplean las últimas versiones de Ninja Forms disponibles.

Referencias:

• https://www.cert.gov.py/noticias/vulnerabilidad-rce-explotada-en-plugin-ninja-forms-de-wordpress
• https://www.wordfence.com/blog/2022/06/psa-critical-vulnerability-patched-in-ninja-forms-wordpress-plugin/
• https://www.wordfence.com/blog/2022/06/psa-critical-vulnerability-patched-in-ninja-forms-wordpress-plugin/
• https://www.itsecurityguru.org/2022/06/20/wordpress-update-millions-of-sites-to-patch-a-critical-vulnerability-affecting-the-ninja-forms-plugin/
• https://es.wordpress.org/plugins/ninja-forms/