El 16 de junio de 2022, el equipo de Wordfence Threat Intelligence notó una actualización de seguridad retroactiva en Ninja Forms, un complemento de WordPress con más de un millón de instalaciones activas. Al igual que con todas las actualizaciones de seguridad en los complementos y temas de WordPress, nuestro equipo analizó el complemento para determinar la capacidad de explotación y la gravedad de la vulnerabilidad que se había parcheado.

Se descubré una vulnerabilidad de inyección de código que hizo posible que los atacantes no autenticados llamaran a una cantidad limitada de métodos en varias clases de Ninja Forms, incluido un método que no serializaba el contenido proporcionado por el usuario, lo que resultaba en la inyección de objetos. Esto podría permitir a los atacantes ejecutar código arbitrario o eliminar archivos arbitrarios en sitios donde estaba presente una cadena POP separada.

Hay evidencia que sugiere que esta vulnerabilidad se está explotando activamente en la naturaleza y, como tal, estamos alertando a nuestros usuarios de inmediato sobre la presencia de esta vulnerabilidad.

Este defecto se ha reparado por completo en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 y 3.6.11. Parece que WordPress ha realizado una actualización automática forzada para este complemento. por lo que es posible que su sitio ya esté utilizando una de las versiones parcheadas. No obstante, se recomienda que se asegure de que su sitio se haya actualizado a una de las versiones parcheadas lo antes posible, debido a que las actualizaciones automáticas no siempre funcionan correctamente.

Los clientes de Wordfence Premium , Wordfence Care y Wordfence Response recibieron una regla el 16 de junio de 2022 para protegerse contra la explotación activa de esta vulnerabilidad. Los usuarios de Wordfence que aún usen la versión gratuita recibirán la misma protección el 16 de julio de 2022. Independientemente de su estado de protección con Wordfence, puede actualizar el complemento en su sitio a una de las versiones parcheadas para evitar la explotación.

Ninja Forms es un complemento popular de WordPress diseñado para mejorar los sitios de WordPress con formularios fácilmente personalizables. Una característica de Ninja Forms es la capacidad de agregar "Etiquetas de combinación" a los formularios que completarán automáticamente los valores de otras áreas de WordPress, como ID de publicación y nombres de usuarios registrados. Desafortunadamente, esta funcionalidad tenía una falla que permitía llamar a varias clases de Ninja Form que podrían usarse para una amplia gama de exploits dirigidos a sitios vulnerables de WordPress.

Sin proporcionar demasiados detalles sobre la vulnerabilidad, la función Merge Tag is_callable() comprueba las etiquetas Merge suministradas. Cuando se proporciona una clase y un método invocables como una etiqueta de combinación, se llama a la función y se ejecuta el código. Estas etiquetas de combinación pueden ser proporcionadas por usuarios no autenticados debido a la forma en que la NF_MergeTags_Otherclase maneja las etiquetas de combinación.

Determinamos que esto podría conducir a una variedad de cadenas de exploits debido a las diversas clases y funciones que contiene el complemento Ninja Forms. Una cadena de explotación potencialmente crítica en particular implica el uso de la NF_Admin_Processes_ImportForm clase para lograr la ejecución remota de código a través de la deserialización, aunque sería necesario instalar otro complemento o tema en el sitio con un dispositivo utilizable.