WordPress: Plugin deixa 1 milhão de sites vulneráveis a hackers

Pesquisadores do Wordfence encontraram 2 vulnerabilidades em um popular plugin instalado em mais de 1 milhão de sites construídos a partir da plataforma WordPress. As falhas de segurança podem permitir que hackers instalem e excluam extensões, como também acessem informações potencialmente confidenciais sobre a configuração de um site.

Os problemas foram encontrados no plugin Gutenberg Template Library & Redux Framework, que deve ser atualizado o mais rápido possível, recomendam os pesquisadores. “Embora nenhuma das falhas possa ser usada diretamente para assumir o controle de um site, ambas as vulnerabilidades podem ser ferramentas úteis nas mãos de um invasor habilidoso”, eles afirmaram.

Vulnerabilidades encontradas

O primeiro bug (CVE-2021-38312) é considerado de alta gravidade e tem classificação 7,1 na escala que vai até 10 da Common Vulnerability Scoring System (CVSS). A brecha de segurança surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os blocos do sistema Gutemberg.

Dados confidenciais de sites podem ser expostos por falhas de segurança nos plugins do WordPress. (Fonte: Pixabay/Werner Moser/Reprodução)

A falha mexe nas permissões do site e acaba criando pontos de vulnerabilidade. Usuários com menos privilégios, como colaboradores e autores, teriam a capacidade de instalar qualquer plugin no site, apontou a empresa.

A segunda vulnerabilidade (CVE-2021-38314) tem gravidade média e está avaliada em 5,3 na escala CVSS. O erro poderia ser utilizado para obter informações potencialmente confidenciais, como a versão do PHP, plugins ativos no site e suas versões. Os dados podem ser utilizados em ataques mais robustos, incluindo uma possível invasão.

Problemas recorrentes

Over 1 Million Sites Affected by Gutenberg Template Library & Redux Framework Vulnerabilities.https://t.co/UUAvcujmbT

— Wordfence (@wordfence) September 1, 2021

Os problemas nos plugins do WordPress são bastante recorrentes. Entre as extensões com as vulnerabilidades mais graves descobertas recentemente estão o Plus Addons for Elementor, cujo código pode ser usado por hackers para assumir o controle de um site de forma rápida, fácil e remota. Outra falha notória, divulgada em maio, é o Spam protection, AntiSpam, FireWall by CleanTalk, que pode expor e-mails, senhas, dados de cartão de crédito e outras informações confidenciais do usuário a um invasor.

Fonte:
Threatpost, Wordfence

--------------------------------------------------------------------------------------
Enfim, gosta do Portal Vovo GaTu😍? Siga-nos nas redes sociais. 
Fique por dentro das noticias, e nao perca nada!😄 Contamos consigo!

Assine as notificações de Feed do Site, Telegram,WhatsApp, Twitter, Facebook, Canal de  Noticias no Discord ou no Pinterest, há, e nos adicione ãos favoritos do seu navegador.

Herley costa:

É o editor chefe e criador do canal do Vovo Gatu, supervisiona todos os conteúdos publicados diariamente, mas faz um pouco de tudo, desde notícias, análises a vídeos, tutoriais e lives para o nosso canal do Youtube. Gosta de experimentar todo o tipo de jogos, mas prefere, mundos abertos e jogos online com longa longevidade. Um grande apaixonado por vídeo games e filmes desde criança, nunca deixou de jogar ou assistir um filme praticamente por todos os dias desde que se conhece por gente.

--------------------------------------------------------------------------------------