Redazione RHC : 15 julio 2025 09:04
El popular plugin Gravity Forms de WordPress sufrió un ataque a la cadena de suministro, infectando su sitio web oficial con una puerta trasera. Gravity Forms es un plugin premium para crear formularios de contacto, de pago y otros formularios en línea. Según estadísticas oficiales, está instalado en aproximadamente un millón de sitios web, algunos de los cuales pertenecen a organizaciones reconocidas como Airbnb, Nike, ESPN, UNICEF y Google. Los especialistas de PatchStack advierten que han recibido informes de solicitudes sospechosas generadas por plugins descargados del sitio web oficial de Gravity Forms. Tras examinar el plugin, confirmaron que se había descargado un archivo malicioso (gravityforms/common.php) del sitio web del fabricante. Tras un análisis más detallado, se reveló que este archivo inició una solicitud POST a un dominio sospechoso, graveyapi[.]org/sites.
Como se demostró en un análisis más detallado, el plugin recopila una gran cantidad de metadatos de los sitios, incluyendo URL, ruta de administración, tema, plugin y datos de la versión de PHP/WordPress. Posteriormente, transmite todos estos datos recopilados a los atacantes. El servidor de los atacantes responde con código PHP malicioso codificado en base64, que se guarda como wp-includes/bookmark-canonical.php. Este malware se hace pasar por herramientas de gestión de contenido de WordPress y permite la ejecución remota de código sin autenticación, mediante funciones como handle_posts(), handle_media() y handle_widgets().
RocketGenius, la empresa que desarrolla Gravity Forms, fue notificada del problema, tras lo cual un representante informó a los investigadores que el malware solo había penetrado en las versiones manual y Composer del plugin. Los expertos recomiendan que quienes hayan descargado Gravity Forms entre el 10 y el 11 de julio de 2025 reinstale el complemento descargando una versión limpia. Además, los administradores deben supervisar sus sitios web para detectar indicios de infección.
Representantes de RocketGenius ya han publicado un análisis del incidente, que confirma que solo las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, disponibles para descarga manual entre el 10 y el 11 de julio de 2025, estaban infectadas. También se ha informado que los usuarios que instalaron la versión 2.9.11 a través de Composer en cualquiera de las fechas mencionadas recibieron una copia infectada del plugin.
«El servicio Gravity API, que gestiona las licencias, las actualizaciones automáticas y la instalación de complementos iniciada por Gravity Forms, no se vio comprometido. Las actualizaciones de paquetes gestionadas por este servicio no se vieron afectadas por el ataque», afirmaron los desarrolladores.
Según el proveedor, el código malicioso bloqueó los intentos de actualización, contactó con un servidor externo para recibir carga útil adicional y agregó una cuenta de administrador al sitio, lo que otorgó a los atacantes control total sobre el recurso afectado.
RedazioneEl director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
Hoy en día, muchos se preguntan qué impacto tendrá la expansión de la Inteligencia Artificial en nuestra sociedad. Entre las mayores preocupaciones se encuentra la pérdida de millones de empleos ...
Análisis de RHC de la red “BHS Links” y la infraestructura global automatizada de SEO Black Hat. Un análisis interno de Red Hot Cyber sobre su dominio ha descubierto una red global de SEO Black ...
Recientemente publicamos un artículo en profundidad sobre el «robo del siglo» en el Louvre , en el que destacamos cómo la seguridad física ( acceso, control ambiental, vigilancia ) está ahora es...
