Se han identificado cuatro vulnerabilidades graves en un solo complemento de WordPress utilizado por más de un millón de sitios web. Se han descubierto errores que afectan al complemento Ninja Forms, un generador de formularios de arrastrar y soltar, y podrían usarse para controlar un sitio de WordPress y redirigir a los administradores a portales maliciosos. El primer defecto permite redirigir a los propietarios de sitios a ubicaciones arbitrarias, aprovechando la función wp_safe_redirect. Los atacantes pueden vincular con un parámetro de redireccionamiento que dirige al propietario del sitio a una URL maliciosa que indica que se está llevando a cabo una investigación de comportamiento inusual del sitio. Esto puede ser suficiente para convencer al administrador de que haga clic involuntariamente en el enlace malicioso. La segunda vulnerabilidad permite a los atacantes interceptar el tráfico de correo electrónico, siempre que tengan acceso de nivel de suscriptor o superior. La tercera falla permite a los atacantes acceder al panel de administración central de Ninja Forms accediendo a la clave de autenticación, mientras que la cuarta falla permite a los actores de amenazas desconectar la conexión OAuth de un sitio, lo que significa que 'no habría forma de delegar el acceso'.