Redazione RHC : 15 julio 2025 09:04
El popular plugin Gravity Forms de WordPress sufrió un ataque a la cadena de suministro, infectando su sitio web oficial con una puerta trasera. Gravity Forms es un plugin premium para crear formularios de contacto, de pago y otros formularios en línea. Según estadísticas oficiales, está instalado en aproximadamente un millón de sitios web, algunos de los cuales pertenecen a organizaciones reconocidas como Airbnb, Nike, ESPN, UNICEF y Google. Los especialistas de PatchStack advierten que han recibido informes de solicitudes sospechosas generadas por plugins descargados del sitio web oficial de Gravity Forms. Tras examinar el plugin, confirmaron que se había descargado un archivo malicioso (gravityforms/common.php) del sitio web del fabricante. Tras un análisis más detallado, se reveló que este archivo inició una solicitud POST a un dominio sospechoso, graveyapi[.]org/sites.
Como se demostró en un análisis más detallado, el plugin recopila una gran cantidad de metadatos de los sitios, incluyendo URL, ruta de administración, tema, plugin y datos de la versión de PHP/WordPress. Posteriormente, transmite todos estos datos recopilados a los atacantes. El servidor de los atacantes responde con código PHP malicioso codificado en base64, que se guarda como wp-includes/bookmark-canonical.php. Este malware se hace pasar por herramientas de gestión de contenido de WordPress y permite la ejecución remota de código sin autenticación, mediante funciones como handle_posts(), handle_media() y handle_widgets().
RocketGenius, la empresa que desarrolla Gravity Forms, fue notificada del problema, tras lo cual un representante informó a los investigadores que el malware solo había penetrado en las versiones manual y Composer del plugin. Los expertos recomiendan que quienes hayan descargado Gravity Forms entre el 10 y el 11 de julio de 2025 reinstale el complemento descargando una versión limpia. Además, los administradores deben supervisar sus sitios web para detectar indicios de infección.
Representantes de RocketGenius ya han publicado un análisis del incidente, que confirma que solo las versiones 2.9.11.1 y 2.9.12 de Gravity Forms, disponibles para descarga manual entre el 10 y el 11 de julio de 2025, estaban infectadas. También se ha informado que los usuarios que instalaron la versión 2.9.11 a través de Composer en cualquiera de las fechas mencionadas recibieron una copia infectada del plugin.
«El servicio Gravity API, que gestiona las licencias, las actualizaciones automáticas y la instalación de complementos iniciada por Gravity Forms, no se vio comprometido. Las actualizaciones de paquetes gestionadas por este servicio no se vieron afectadas por el ataque», afirmaron los desarrolladores.
Según el proveedor, el código malicioso bloqueó los intentos de actualización, contactó con un servidor externo para recibir carga útil adicional y agregó una cuenta de administrador al sitio, lo que otorgó a los atacantes control total sobre el recurso afectado.
RedazioneEsta herramienta está diseñada exclusivamente para fines educativos y de pruebas de penetración autorizados. El autor no asume ninguna responsabilidad por el mal uso o los daños ca...
Recientemente, el popular foro clandestino exploit.in, actualmente cerrado y accesible solo por invitación, ha estado ofreciendo exploits para una vulnerabilidad de día cero que afecta a los...
Muchas personas desean comprender con precisión el fenómeno del ransomware, su significado, los métodos de violación y los delitos que lo rodean, y les cuesta encontrar informaci&#...
Autore: 5ar0m4n Data Pubblicazione: 7/11/2021 Abbiamo spesso affrontato l’argomento dei cavi sottomarini su RHC dove abbiamo parlato del primo cavo sottomarino della storia e dell’ultimo p...
Las autoridades españolas investigan a un hacker que filtró información sensible sobre funcionarios públicos y figuras políticas. Los datos publicados incluyen el supuesto n&#...
Para más información: [email protected]
