El plugin Ninja Forms – The Contact Form Builder That Grows With You para WordPress es vulnerable a la ejecución de shortcodes arbitrarios en todas las versiones hasta, e incluyendo, la 3.8.22. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida adecuadamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes autenticados, con acceso de nivel Suscriptor y superior, ejecuten shortcodes arbitrarios.
Los usuarios afectados por esta vulnerabilidad deben actualizar su plugin Ninja Forms a la última versión disponible, en este caso, la versión 3.8.23. Además, se recomienda a los usuarios restringir el acceso a los roles de suscriptores y superiores para reducir el riesgo de que un atacante aproveche esta vulnerabilidad. Se sugiere también monitorear de cerca cualquier actividad sospechosa en el sitio web.
Es crucial mantener todos los plugins y temas de WordPress actualizados para proteger su sitio de posibles vulnerabilidades. Al tomar medidas proactivas como estas, los usuarios pueden reducir significativamente la probabilidad de sufrir un ataque basado en la ejecución de shortcodes arbitrarios.