La vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Ninja Forms Contact Form – The Drag and Drop Form Builder para WordPress hasta la versión 3.8.0 permite a atacantes no autenticados realizar una exportación de las presentaciones de un formulario a un lugar de acceso público mediante una solicitud falsificada.
El plugin Ninja Forms Contact Form – The Drag and Drop Form Builder para WordPress es vulnerable a CSRF en todas las versiones hasta, e incluyendo, la 3.8.0. Esto se debe a la falta o validación incorrecta de nonce en la acción AJAX nf_download_all_subs. Esto hace posible que los atacantes no autenticados activen una exportación de las presentaciones de un formulario a un lugar de acceso público a través de una solicitud falsificada, siempre y cuando puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Ninja Forms Contact Form – The Drag and Drop Form Builder a la última versión disponible, en este caso, 3.8.1. Asimismo, se aconseja a los administradores del sitio que estén atentos a posibles solicitudes sospechosas y que utilicen medidas adicionales de seguridad, como la implementación de tokens CSRF en sus formularios.