En este reporte se ha identificado una vulnerabilidad en la versión 3.3.16 de Ninja Forms que permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario sin necesidad de autenticación.
La vulnerabilidad CVE-2024-1596 en Ninja Forms permite a un atacante cargar un archivo con un payload malicioso que, una vez procesado por la aplicación, puede ejecutar código no autorizado en el navegador del usuario afectado. Para mitigar este riesgo, se recomienda actualizar Ninja Forms a la versión más reciente disponible, así como restringir los tipos de archivos permitidos para cargar en el formulario a extensiones seguras como .pdf, .jpeg, entre otros.
Es fundamental mantener las aplicaciones y plugins de WordPress actualizados para prevenir vulnerabilidades como la explotada en Ninja Forms. Además, es importante educar a los usuarios sobre las buenas prácticas al cargar archivos a través de formularios para evitar posibles ataques de Cross-Site Scripting sin autenticación.