Ciência e Tecnologia
Plugin do WordPress deixa 1 milhão de sites vulneráveis a hackers
A brecha de segurança surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os blocos do sistema Gutemberg.
Pesquisadores do Wordfence encontraram 2 vulnerabilidades em um popular plugin instalado em mais de 1 milhão de sites construídos a partir da plataforma WordPress.
As falhas de segurança
podem permitir que hackers instalem e excluam extensões, como também acessem informações
potencialmente confidenciais sobre a configuração de um site.
Os problemas
foram encontrados no plugin Gutenberg Template Library & Redux Framework, que deve
ser atualizado o mais rápido possível, recomendam os pesquisadores. “Embora nenhuma das falhas
possa ser usada diretamente para assumir o controle de um site, ambas as vulnerabilidades podem
ser ferramentas úteis nas mãos de um invasor habilidoso”, eles afirmaram.
Vulnerabilidades encontradas
O primeiro bug (CVE-2021-38312) é considerado de alta gravidade e tem classificação 7,1 na
escala que vai até 10 da Common Vulnerability Scoring System (CVSS). A brecha de segurança
surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os
blocos do sistema Gutemberg.
A falha
mexe nas permissões do site e acaba criando pontos de vulnerabilidade. Usuários com
menos privilégios, como colaboradores e autores, teriam a capacidade de instalar qualquer
plugin no site, apontou a empresa.
A segunda vulnerabilidade (CVE-2021-38314)
tem gravidade média e está avaliada em 5,3 na escala
CVSS. O erro poderia ser utilizado para obter informações potencialmente confidenciais, como a
versão do PHP, plugins ativos no site e suas versões. Os dados podem ser utilizados em ataques
mais robustos, incluindo uma possível invasão.
Problemas recorrentes
Over 1 Million Sites Affected by Gutenberg Template Library & Redux Framework Vulnerabilities.https://t.co/UUAvcujmbT
— Wordfence (@wordfence) September 1, 2021
Os problemas
nos plugins do WordPress são bastante recorrentes. Entre as extensões com as
vulnerabilidades mais graves descobertas recentemente estão o Plus Addons for Elementor, cujo
código pode ser usado por hackers para assumir o controle de um site de forma rápida, fácil e
remota.
Outra falha notória,
divulgada em maio, é o Spam protection, AntiSpam, FireWall by
CleanTalk, que pode expor e-mails, senhas, dados de cartão de crédito e outras informações
confidenciais do usuário a um invasor.
Link original da matéria:
https://www.tecmundo.com.br/seguranca/224268-plugin-wordpress-deixa-1-milhao-sites-
vulneraveis-hackers.htm?fbclid=IwAR1uRA_0tQNw1LAYJYWX-c_I4HOiaJVcjeHPXChn3F0XVU-t_nMT3DZc0Yc