La popular herramienta de formularios para WordPress, Gravity Forms, ha sido víctima de un ataque a la cadena de suministro que permitió la ejecución remota de código en sitios web afectados.
La vulnerabilidad fue descubierta por la empresa de ciberseguridad Patchstack, que emitió una advertencia urgente.
Ataque a la cadena de suministro
Según Patchstack, los atacantes lograron subir una versión infectada del plugin al repositorio del editor.
El código malicioso, insertado en el archivo gravityforms/common.php, realizaba solicitudes HTTP POST a un dominio fraudulento llamado gravityapi.org, registrado apenas días antes del ataque.
Este comportamiento permitió a los atacantes:
- Subir archivos arbitrarios al servidor.
- Listar todos los usuarios del sitio (ID, nombre, email).
- Eliminar cuentas de usuario.
- Realizar listados de archivos y directorios en el servidor, incluso acceder a
wp-config.php, que contiene credenciales de base de datos.
En términos de seguridad, esto constituye una vulnerabilidad de ejecución remota de código (RCE), una de las amenazas más graves para cualquier sitio web.
Respuesta de Gravity Forms
La empresa desarrolladora, RocketGenius, actuó de inmediato publicando una versión corregida el mismo día del descubrimiento.
Además, el registrador Namecheap suspendió el dominio fraudulento, bloqueando el acceso de los sitios comprometidos a los servidores de los atacantes.
La versión 2.9.13 del plugin corrige esta brecha y se recomienda encarecidamente que todos los usuarios actualicen a la última versión disponible para evitar compromisos futuros.
Recomendaciones para los administradores de WordPress
- Actualizar inmediatamente Gravity Forms a la versión más reciente.
- Revisar registros de actividad para detectar comportamientos sospechosos.
- Cambiar credenciales de base de datos si existe sospecha de acceso no autorizado.
- Implementar un firewall de aplicaciones web (WAF) para mitigar amenazas similares.
La rapidez en la respuesta fue clave para contener el ataque, pero este caso subraya la importancia de mantener plugins y temas siempre actualizados y descargar software únicamente desde fuentes oficiales.