Notícias : Ciência e Tecnologia

Ciência e Tecnologia

Plugin do WordPress deixa 1 milhão de sites vulneráveis a hackers

A brecha de segurança surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os blocos do sistema Gutemberg.

Pesquisadores do Wordfence encontraram 2 vulnerabilidades em um popular plugin instalado em mais de 1 milhão de sites construídos a partir da plataforma WordPress.

As falhas de segurança
podem permitir que hackers instalem e excluam extensões, como também acessem informações
potencialmente confidenciais sobre a configuração de um site.

Os problemas

foram encontrados no plugin Gutenberg Template Library & Redux Framework, que deve
ser atualizado o mais rápido possível, recomendam os pesquisadores. “Embora nenhuma das falhas
possa ser usada diretamente para assumir o controle de um site, ambas as vulnerabilidades podem
ser ferramentas úteis nas mãos de um invasor habilidoso”, eles afirmaram.

Vulnerabilidades encontradas

O primeiro bug (CVE-2021-38312) é considerado de alta gravidade e tem classificação 7,1 na
escala que vai até 10 da Common Vulnerability Scoring System (CVSS). A brecha de segurança
surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os
blocos do sistema Gutemberg.

A falha

mexe nas permissões do site e acaba criando pontos de vulnerabilidade. Usuários com
menos privilégios, como colaboradores e autores, teriam a capacidade de instalar qualquer
plugin no site, apontou a empresa.

A segunda vulnerabilidade (CVE-2021-38314)

tem gravidade média e está avaliada em 5,3 na escala
CVSS. O erro poderia ser utilizado para obter informações potencialmente confidenciais, como a
versão do PHP, plugins ativos no site e suas versões. Os dados podem ser utilizados em ataques
mais robustos, incluindo uma possível invasão.

Problemas recorrentes

Os problemas

nos plugins do WordPress são bastante recorrentes. Entre as extensões com as
vulnerabilidades mais graves descobertas recentemente estão o Plus Addons for Elementor, cujo
código pode ser usado por hackers para assumir o controle de um site de forma rápida, fácil e
remota.

Outra falha notória,

divulgada em maio, é o Spam protection, AntiSpam, FireWall by
CleanTalk, que pode expor e-mails, senhas, dados de cartão de crédito e outras informações
confidenciais do usuário a um invasor.

Link original da matéria:
https://www.tecmundo.com.br/seguranca/224268-plugin-wordpress-deixa-1-milhao-sites-
vulneraveis-hackers.htm?fbclid=IwAR1uRA_0tQNw1LAYJYWX-c_I4HOiaJVcjeHPXChn3F0XVU-t_nMT3DZc0Yc

 

Os problemas foram encontrados no plugin Gutenberg Template Library & Redux Framework, que deve ser atualizado o mais rápido possível, recomendam os pesquisadores.Reprodução
Pesquisadores do Wordfence encontraram 2 vulnerabilidades em um popular plugin instalado em mais de 1 milhão de sites construídos a partir da plataforma WordPress. Imagem: Pixabay/Dok Sev/Reprodução
Dados confidenciais de sites podem ser expostos por falhas de segurança nos plugins do WordPress. (Fonte: Pixabay/Werner Moser/Reprodução).
  • Fonte da informação:
  • Leia na fonte original da informação
  • Gildo Ribeiro

    Gildo Ribeiro é editor do Grupo 7 de Comunicação, liderado pelo Portal 7 Minutos, uma plataforma de notícias online.

    Artigos relacionados

    Verifique também
    Fechar
    Botão Voltar ao topo