Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

WordPress força atualização de sites que utilizam plugin com falha crítica

Por| Editado por Claudio Yuge | 18 de Fevereiro de 2022 às 20h20

Pixabay/doki7
Pixabay/doki7
Continua após a publicidade

Após tantos problemas com plugins utilizados em sua plataforma, o WordPress adotou uma nova estratégia para a mitigação mais rápida de falhas envolvendo a extensão UpdraftPlus, que teve vulnerabilidades recentemente descobertas: atualizar forçadamente todos os 3 milhões de sites que a utilizam.

A falha no plugin UpdraftPlus é bem crítica, permitindo que invasores possam, a partir dela, realizar o download dos backups mais recentes dos bancos de dados de sites que utilizam a extensão — o que, normalmente, pode incluir credenciais de acessos de administradores.

A falha foi descoberta pelo pesquisador de cibersegurança Marc Montpass em 14 de fevereiro, sendo registrada com o código CVE-2022-0633, com uma nota de severidade de 5.5. Ela afeta o UpdraftPlus versão 1.16.7 até 1.22.2.

Como mais de 3 milhões de sites utilizam o plugin, a falha poderia afetar uma parte substancial da internet, o que explica a decisão do WordPress em forçar a atualização — mesmo para páginas sem qualquer tipo de sistema de login público, que segundo o relatório divulgado pelo pesquisador, não podem ser afetados pela vulnerabilidade.

Atualização do WordPress já foi implementada em mais da metade dos sites afetados

WordPress força atualização de sites que utilizam plugin com falha crítica
WordPress afirma já ter atualizado mais da metade dos sites afetados pela falha. (Imagem: Reprodução/ Divulgação/StockSnap/Pixabay)

Depois que o relatório publico da falha foi publicado em 14 de fevereiro, os desenvolvedores do plugin lançaram quase que imediatamente as versões 1.22.3 e 1.22.4 da ferramenta, que já contavam com a correção do problema— e então, em 16 de fevereiro, o WordPress começou a forçar a instalação dessas novas distribuições da extensão.

Continua após a publicidade

Segundo informações do WordPress sobre o plugin, no dia 16, quando a atualização forçada foi implementada, 783 mil sites a realizarem, somados a mais 1,7 milhão no dia 17 — o que significa que mais da metade das páginas que utilizam a extensão já estão protegidas da vulnerabilidade.

Para administradores de sites WordPress que utilizem o plugin e ainda não tenham recebido a atualização, as novas versões podem ser aplicadas manualmente a partir das configurações de segurança no Painel de Controle.

Fonte: BleepingComputer