Se ha detectado una vulnerabilidad crítica en el plugin Ninja Forms, una herramienta ampliamente utilizada para la creación de formularios en sitios web basados en WordPress. Esta falla expone a más de 700,000 sitios a posibles ataques que podrían comprometer la seguridad de los usuarios y los datos.
- CVE-2024-11052 (CVSS 7.2): Esta vulnerabilidad permite a atacantes no autenticados inyectar scripts web arbitrarios que se ejecutan cuando un usuario accede a una página comprometida. El problema radica en la falta de validación adecuada de entradas y escape de salidas en el parámetro calculations del plugin, lo que permite la inyección de código malicioso en páginas generadas dinámicamente.
Productos y versiones afectadas:
- Versiones anteriores a la 3.8.20 del plugin Ninja Forms para WP.
Solución:
- Actualizar a la versión 3.8.20 o posterior
Recomendaciones:
- Actualizar el plugin Ninja Forms a la última versión disponible para corregir la vulnerabilidad.
- Configurar controles de seguridad adicionales para evitar la ejecución de scripts maliciosos.
- Monitorear regularmente el sitio web para identificar posibles inyecciones de código.
Referencias: