Qué es Ninja Forms Contact Form
Ninja Forms es un popular complemento de WordPress que te permite crear formularios de contacto personalizados de manera sencilla y sin necesidad de conocimientos de programación. Con Ninja Forms, puedes crear formularios de contacto con campos personalizados, establecer notificaciones por correo electrónico, y gestionar las respuestas de los formularios desde tu panel de administración de WordPress.
Vulnerabilidad en el plugins Ninja Forms Contact Form
Ninja Forms Contact Form es un popular complemento de WordPress que ha demostrado ser una herramienta útil para la creación de formularios de contacto personalizados. Sin embargo, a lo largo de su existencia, se han descubierto algunas vulnerabilidades en el complemento.
Desde su creación, se ha trabajado constantemente para mejorar la seguridad y corregir posibles fallos en el código de Ninja Forms Contact Form. A lo largo de su historia, se han identificado y solucionado más de 49 vulnerabilidades en el complemento.
El equipo de desarrollo de Ninja Forms ha sido proactivo al abordar estas vulnerabilidades, lanzando regularmente actualizaciones de seguridad para garantizar la protección de los usuarios. Estas actualizaciones suelen incluir correcciones de errores y parches de seguridad que abordan cualquier vulnerabilidad descubierta.
Es importante destacar que, en la mayoría de los casos, las vulnerabilidades descubiertas han sido parcheadas. Sin embargo, esto resalta la importancia de mantener siempre actualizados los complementos de WordPress, incluido Ninja Forms Contact Form, para proteger tu sitio web de posibles amenazas.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
ninja-forms/trunk/lib/StepProcessing/menu.php 70 */ 71 function nf_output_step_processing_page() { $page_title = isset ( $_REQUEST['title'] ) ? urldecode( esc_html ( $_REQUEST['title'] ) ) : esc_html__( 'Ninja Forms - Processing', 'ninja-forms' ); 72 $page_title = nfExtractPageTitle( $_REQUEST['title'] ) ; 73 ?> … … 154 } 155 156 /** 157 * Extract page title from given input 158 * 159 * @param string $title 160 * @return string 161 */ 162 function nfExtractPageTitle($title){ 163 $return = isset ( $title ) ? esc_html ( urldecode($title ) ) : esc_html__( 'Ninja Forms - Processing', 'ninja-forms' ); 164 165 return $return; 166 } |
El archivo «menu.php» ubicado en la ruta «ninja-forms/trunk/lib/StepProcessing/» del plugin Ninja Forms contiene un código que maneja la generación de la página de procesamiento de pasos. En la línea 71, se obtiene el valor del parámetro ‘title’ de la solicitud y se realiza una decodificación URL y una sanitización HTML antes de asignarlo a la variable $page_title. Luego, en la línea 72, se llama a la función nfExtractPageTitle() pasando el valor del parámetro ‘title’. Esta función tiene como objetivo extraer el título de la página a partir de la entrada proporcionada.
Es importante destacar que el código mostrado no presenta ninguna vulnerabilidad en sí mismo. Sin embargo, es necesario realizar una revisión más exhaustiva del contexto en el que se utiliza este código y de las funciones y variables relacionadas para evaluar si existen posibles problemas de seguridad.
El plugin Ninja Forms Contact Form para WordPress ha sido identificado como vulnerable a ataques de Reflected Cross-Site Scripting (XSS) a través del parámetro ‘title’ en versiones hasta, e incluyendo, la 3.6.21 debido a una insuficiente sanitización de entrada y escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
Servicio de desinfección web
¿Preocupado por la seguridad de su sitio web? ¡No se preocupe más! te ofrezco mi servicio de desinfección web con más de 10 años de experiencia, puede estar seguro de que su sitio estará completamente limpio de virus y malware. Confíe en mi experiencia y proteja su sitio web hoy mismo.