Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Ninja Forms de WordPress, que permitiría a un actor malicioso realizar ataques del tipo Cross-site Scripting (XSS) en el sitio web con el plugin afectado.
La vulnerabilidad identificada como CVE-2023-37979, de severidad “Alta”, con una puntuación asignada de 7.1. La misma deriva de una falla en la validación de datos de entradas del usuario en los formularios del plugin. Esto permitiría la ejecución de código malicioso a través de un ataque de Cross-Site Scripting (XSS) reflejado no autorizado a través de solicitudes HTML especialmente diseñadas enviadas al sitio web, también permitiría al atacante ejecutar código JavaScript en el navegador de las víctimas a través del sitio con el plugin web afectado.
El producto afectado es:
- Plugin Ninja Forms de WordPress, versión 3.6.25 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias: