Vulnerabilidad RCE explotada en plugin Ninja Forms de WordPress 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad crítica que está siendo explotada en el plugin Ninja Forms de WordPress, que permitiría a un atacante realizar ejecución remota de código (RCE). 

Se ha reportado una nueva vulnerabilidad crítica que afecta al plugin Ninja Forms de WordPress, que está siendo explotada activamente y que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado. 

La vulnerabilidad sin identificación asignada, con severidad crítica y puntuación asignada de 9.8. Esta vulnerabilidad de inyección de código se debe a un error en el llamado de las funciones NF_MergeTags_Other, o NF_Admin_Processes_ImportForm de Ninja Forms, esta falla permite llamar a varias clases de Ninja Form que podrían usarse para una amplia gama de exploits dirigidos a sitios vulnerables de WordPress.  

Las versiones afectadas de Ninja Forms son: 

  • 3.6-3.6.10, 3.5-3.5.8.3, 3.4-3.4.34.1, 3.3-3.3.21.3, 3.2-3.2.27, 3.1-3.1.9, 3.0-3.0.34.1 

WordPress ha realizado una actualización forzada, por lo que los sitios afectados ya deberían contar con la versión parchada. Sin embargo, recomendamos comprobar que se esté utilizando la última versión disponible.  

Referencias: 

Compartir: