Redazione RHC : 15 julio 2025 09:04
El popular plugin Gravity Forms de WordPress sufrió un ataque a la cadena de suministro, infectando su sitio web oficial con una puerta trasera. Gravity Forms es un plugin premium para crear formularios de contacto, de pago y otros formularios en línea. Según estadísticas oficiales, está instalado en aproximadamente un millón de sitios web, algunos de los cuales pertenecen a organizaciones reconocidas como Airbnb, Nike, ESPN, UNICEF y Google. Los especialistas de PatchStack advierten que han recibido informes de solicitudes sospechosas generadas por plugins descargados del sitio web oficial de Gravity Forms. Tras examinar el plugin, confirmaron que se había descargado un archivo malicioso (gravityforms/common.php) del sitio web del fabricante. Tras un análisis más detallado, se reveló que este archivo inició una solicitud POST a un dominio sospechoso, graveyapi[.]org/sites.
Como se demostró en un análisis más detallado, el plugin recopila una gran cantidad de metadatos de los sitios, incluyendo URL, ruta de administración, tema, plugin y datos de la versión de PHP/WordPress. Posteriormente, transmite todos estos datos recopilados a los atacantes. El servidor de los atacantes responde con código PHP malicioso codificado en base64, que se guarda como wp-includes/bookmark-canonical.php. Este malware se hace pasar por herramientas de gestión de contenido de WordPress y permite la ejecución remota de código sin autenticación, mediante funciones como handle_posts(), handle_media() y handle_widgets().
RocketGenius, la empresa que desarrolla Gravity Forms, fue notificada del problema, tras lo cual un representante informó a los investigadores que el malware solo había penetrado en las versiones manual y Composer del plugin. Los expertos recomiendan que quienes hayan descargado Gravity Forms entre el 10 y el 11 de julio de 2025 reinstale el complemento descargando una versión limpia. Además, los administradores deben supervisar sus sitios web para detectar indicios de infección.
Representantes de RocketGenius ya han publicado un análisis del incidente, que confirma que solo las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, disponibles para descarga manual entre el 10 y el 11 de julio de 2025, estaban infectadas. También se ha informado que los usuarios que instalaron la versión 2.9.11 a través de Composer en cualquiera de las fechas mencionadas recibieron una copia infectada del plugin.
«El servicio Gravity API, que gestiona las licencias, las actualizaciones automáticas y la instalación de complementos iniciada por Gravity Forms, no se vio comprometido. Las actualizaciones de paquetes gestionadas por este servicio no se vieron afectadas por el ataque», afirmaron los desarrolladores.
Según el proveedor, el código malicioso bloqueó los intentos de actualización, contactó con un servidor externo para recibir carga útil adicional y agregó una cuenta de administrador al sitio, lo que otorgó a los atacantes control total sobre el recurso afectado.
Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...