Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

Falhas em plugin de Wordpress permitem execução de código malicioso

Por| Editado por Claudio Yuge | 22 de Dezembro de 2021 às 19h30

Falhas em plugin de Wordpress permitem execução de código malicioso
Falhas em plugin de Wordpress permitem execução de código malicioso
Continua após a publicidade

Faltando pouco mais de uma semana para 2021, os problemas de segurança envolvendo plugins do WordPress continuam sendo relatados por usuários e pesquisadores. Dessa vez, são duas falhas que atingem a popular extensão All in One SEO, que expôs mais de 3 milhões de endereços para ataques criminosos.

As falhas foram descobertas e alertadas para a desenvolvedora do plugin pelo pesquisador de segurança Marc Montpas. A primeira vulnerabilidade, registrada como CVE-2021-25036, permite a escalação de privilégios de usuários, enquanto a segunda, CVE-2021-25037, possibilita a injeção de comandos SQL no site.

Mesmo essas falhas necessitando de autenticação dos usuários para poderem ser usadas, elas são preocupantes pelo fato que mesmo o menor nível de privilégios, como Inscrito, dado para contas poderem comentar nos conteúdos dos sites do Wordpress, já pode utiliza-las.

A desenvolvedora do All in One SEO disponibilizou uma correção para as falhas em 7 de dezembro, porém até o fechamento desta matéria, mais de 820 mil sites que usam o plugin ainda não haviam instalado a atualização, se mantendo expostos para ataques.

Abuso fácil

Falhas em plugin de Wordpress permitem execução de código malicioso
O All in One SEO é um plugin de Wordpress muito popular. (Imagem: Reprodução/Wordpress)

O pesquisador Montpas identificou que para aumentar os privilégios de usuários a partir do abuso da falha CVE-2021-25036 basta substituir um caractere em algumas identificações de segurança para conseguir burlar os bloqueios de acesso nas configurações do site para cada nível de usuário.

Continua após a publicidade

Por conta dessa facilidade em abusar das falhas, o especialista afirma que é enorme a possibilidade de invasores usarem as vulnerabilidades para implantarem e executarem códigos maliciosos no servidor dos sites afetados, colocando em risco tanto os administradores, seus dados e os visitantes do endereço.

É de extrema importância que todos os usuários das versões 4.0.0 até 4.1.5.2 do plugin All In One SEO, afetadas pelas duas vulnerabilidades relatas, instalem o mais rápido possível a atualização 4.1.5.3, para corrigir os problemas e não correr mais o risco de sofrer com possíveis invasores abusando das falhas. Ela pode ser encontrada no site oficial da extensão.

Fonte: BleepingComputer