Licenças para vários dispositivos (descontos por volume)
Computer Security Aviso! Vulnerabilidade no Plugin do WordPress Ameaça...

Aviso! Vulnerabilidade no Plugin do WordPress Ameaça Milhões de Páginas

Por Mura em Computer Security
Traduzir Para:
Português

É aquela época do mês novamente, quando outra vulnerabilidade do plugin WordPress aparece, quase como um relógio. Desta vez, a vulnerabilidade diz respeito ao plugin chamado UpdraftPlus, que está instalado em cerca de 3 milhões de sites que executam a plataforma de publicação.

Acesso Privilegiado aos Backups

O problema foi descoberto pelo pesquisador de segurança Marc Montpas e posteriormente examinado em um post detalhado pela Wordfence - uma equipe especializada em segurança do WordPress. A falha no UpdraftPlus foi codificada sob o identificador CVE 2022-0633 e recebeu uma classificação de gravidade de 8,5 ou Alta.

A vulnerabilidade permitia que qualquer usuário ativo e logado com sucesso em qualquer site do WordPress que executasse o UpdraftPlus baixasse backups de sites existentes - algo que só deveria ser possível com privilégios elevados, tais como os de administradores.

A capacidade de obter facilmente todos os dados de backup pode levar a todos os tipos de problemas no futuro, desde o roubo de credenciais até o acesso a informações confidenciais e privilegiadas.

O Wordfence explicou que, se um possível agente mal-intencionado enviasse uma pulsação especificamente personalizada para o site, eles teriam acesso a um "log de backup contendo um nonce de backup e um carimbo de data/hora". Todos os três juntos podem ser usados para baixar o backup em massa do site.

Plugins Populares Oferecem uma Grande Superfície de Ataque

A vulnerabilidade não é tão horrível quanto parece, porque se essa ação for realizada por um mau autor externo, o hacker ainda precisará ter acesso regular à instância da plataforma WordPress para o site. No entanto, seria suficiente ter um conjunto de credenciais de login comprometidas para fazê-lo. Os pesquisadores acreditam que isso é compensado pelo fato do UpdraftPlus ser muito popular e estar instalado em cerca de 3 milhões de sites.

Somente em janeiro de 2022, vários bugs de alta gravidade foram descobertos nos plugins do WordPress, incluindo um com uma classificação de gravidade de 10. O problema com as falhas do plugin é que muitos dos plugins afetados são amplamente adotados, semelhante ao UpdraftPlus, o que leva a uma superfície de ataque em potencial muito grande ficar acessível a potenciais agentes de ameaças.

Carregando...