Plugin Ninja Form de WordPress nuevamente con problemas de seguridad

Ninja Form es uno de los plugins de formularios más utilizadas en todo worldwide. Tiene más de un millón de instalaciones, y lleva muchos años siendo la opción preferida de los creadores de sitios WordPress.

El detalle es que no por ser muy popular está libre de errores, y de hecho un problema muy grave se ha identificado en las versiones anteriores a la 3.4.34.

El plugin de WordPress Ninja Forms tenía múltiples vulnerabilidades:

– Uno de los errores permitía que los atacantes redirigieran a los administradores del sitio a ubicaciones arbitrarias.
– Otro error permitía que los atacantes con acceso de nivel de suscriptor o superior instalaran un plugin que podría usarse para interceptar todo el tráfico de correo.
– El tercer error permitía que los atacantes con acceso de nivel de suscriptor recuperaran la contraseña de conexión OAuth de Ninja Form que podría utilizarse para establecer una conexión con el panel de administración central de Ninja Forms. Esto hizo posible que los atacantes desconectaran la conexión OAuth de un sitio si podían engañar al administrador del sitio para que realizara una acción. Estos errores podrían usarse para hacerse cargo de un sitio de WordPress y redirigir a los propietarios de sitios a sitios maliciosos.

Dicho esto, los problemas se resolvieron con la versión 3.4.34 reciente, por lo que si tienes el plugin desactualizado, parcha los errores ahora mismo.

Cada día son más los plugins que muestran errores de seguridad que pueden aprovecharse cuando hay usuarios con nivel de suscripción. Un atacante puede suscribirse en una web y desde dentro aplicar muchas más acciones que si solo es un lector de la parte pública, por lo que no abras esta opción si no es estrictamente necesario.

Ninja forms le causó temor a medio mundo con problemas de seguridad identificados en mayo de 2020. Ahora los problemas volvieron a repetirse.