Redazione RHC : 15 julio 2025 09:04
El popular plugin Gravity Forms de WordPress sufrió un ataque a la cadena de suministro, infectando su sitio web oficial con una puerta trasera. Gravity Forms es un plugin premium para crear formularios de contacto, de pago y otros formularios en línea. Según estadísticas oficiales, está instalado en aproximadamente un millón de sitios web, algunos de los cuales pertenecen a organizaciones reconocidas como Airbnb, Nike, ESPN, UNICEF y Google. Los especialistas de PatchStack advierten que han recibido informes de solicitudes sospechosas generadas por plugins descargados del sitio web oficial de Gravity Forms. Tras examinar el plugin, confirmaron que se había descargado un archivo malicioso (gravityforms/common.php) del sitio web del fabricante. Tras un análisis más detallado, se reveló que este archivo inició una solicitud POST a un dominio sospechoso, graveyapi[.]org/sites.
Como se demostró en un análisis más detallado, el plugin recopila una gran cantidad de metadatos de los sitios, incluyendo URL, ruta de administración, tema, plugin y datos de la versión de PHP/WordPress. Posteriormente, transmite todos estos datos recopilados a los atacantes. El servidor de los atacantes responde con código PHP malicioso codificado en base64, que se guarda como wp-includes/bookmark-canonical.php. Este malware se hace pasar por herramientas de gestión de contenido de WordPress y permite la ejecución remota de código sin autenticación, mediante funciones como handle_posts(), handle_media() y handle_widgets().
RocketGenius, la empresa que desarrolla Gravity Forms, fue notificada del problema, tras lo cual un representante informó a los investigadores que el malware solo había penetrado en las versiones manual y Composer del plugin. Los expertos recomiendan que quienes hayan descargado Gravity Forms entre el 10 y el 11 de julio de 2025 reinstale el complemento descargando una versión limpia. Además, los administradores deben supervisar sus sitios web para detectar indicios de infección.
Representantes de RocketGenius ya han publicado un análisis del incidente, que confirma que solo las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, disponibles para descarga manual entre el 10 y el 11 de julio de 2025, estaban infectadas. También se ha informado que los usuarios que instalaron la versión 2.9.11 a través de Composer en cualquiera de las fechas mencionadas recibieron una copia infectada del plugin.
«El servicio Gravity API, que gestiona las licencias, las actualizaciones automáticas y la instalación de complementos iniciada por Gravity Forms, no se vio comprometido. Las actualizaciones de paquetes gestionadas por este servicio no se vieron afectadas por el ataque», afirmaron los desarrolladores.
Según el proveedor, el código malicioso bloqueó los intentos de actualización, contactó con un servidor externo para recibir carga útil adicional y agregó una cuenta de administrador al sitio, lo que otorgó a los atacantes control total sobre el recurso afectado.
RedazioneLos piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
