Redazione RHC : 15 julio 2025 09:04
El popular plugin Gravity Forms de WordPress sufrió un ataque a la cadena de suministro, infectando su sitio web oficial con una puerta trasera. Gravity Forms es un plugin premium para crear formularios de contacto, de pago y otros formularios en línea. Según estadísticas oficiales, está instalado en aproximadamente un millón de sitios web, algunos de los cuales pertenecen a organizaciones reconocidas como Airbnb, Nike, ESPN, UNICEF y Google. Los especialistas de PatchStack advierten que han recibido informes de solicitudes sospechosas generadas por plugins descargados del sitio web oficial de Gravity Forms. Tras examinar el plugin, confirmaron que se había descargado un archivo malicioso (gravityforms/common.php) del sitio web del fabricante. Tras un análisis más detallado, se reveló que este archivo inició una solicitud POST a un dominio sospechoso, graveyapi[.]org/sites.
Como se demostró en un análisis más detallado, el plugin recopila una gran cantidad de metadatos de los sitios, incluyendo URL, ruta de administración, tema, plugin y datos de la versión de PHP/WordPress. Posteriormente, transmite todos estos datos recopilados a los atacantes. El servidor de los atacantes responde con código PHP malicioso codificado en base64, que se guarda como wp-includes/bookmark-canonical.php. Este malware se hace pasar por herramientas de gestión de contenido de WordPress y permite la ejecución remota de código sin autenticación, mediante funciones como handle_posts(), handle_media() y handle_widgets().
RocketGenius, la empresa que desarrolla Gravity Forms, fue notificada del problema, tras lo cual un representante informó a los investigadores que el malware solo había penetrado en las versiones manual y Composer del plugin. Los expertos recomiendan que quienes hayan descargado Gravity Forms entre el 10 y el 11 de julio de 2025 reinstale el complemento descargando una versión limpia. Además, los administradores deben supervisar sus sitios web para detectar indicios de infección.
Representantes de RocketGenius ya han publicado un análisis del incidente, que confirma que solo las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, disponibles para descarga manual entre el 10 y el 11 de julio de 2025, estaban infectadas. También se ha informado que los usuarios que instalaron la versión 2.9.11 a través de Composer en cualquiera de las fechas mencionadas recibieron una copia infectada del plugin.
«El servicio Gravity API, que gestiona las licencias, las actualizaciones automáticas y la instalación de complementos iniciada por Gravity Forms, no se vio comprometido. Las actualizaciones de paquetes gestionadas por este servicio no se vieron afectadas por el ataque», afirmaron los desarrolladores.
Según el proveedor, el código malicioso bloqueó los intentos de actualización, contactó con un servidor externo para recibir carga útil adicional y agregó una cuenta de administrador al sitio, lo que otorgó a los atacantes control total sobre el recurso afectado.
RedazioneMás de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
La cita, “Definitivamente construiremos un búnker antes de lanzar AGI”, que inspiró el artículo, fue atribuida a un líder de Silicon Valley, aunque no está claro exactamente a quién se refer...
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
