Brecha em plugin do Wordpress permitia tirar sites inteiros do ar
Por Felipe Demartini | Editado por Claudio Yuge | 27 de Outubro de 2021 às 21h40
Mais uma semana, mais uma falha em um plugin do Wordpress; a da vez permitia que um atacante tirasse postagens e até um site inteiro do ar, a partir de uma brecha em um sistema de checagem de usuários. A abertura estava na extensão Hashthemes Demo Importer, que, de acordo com os números oficiais, estaria instalada em mais de oito mil veículos que usam o sistema de gerenciamento de publicações.
- Falha em extensão do Wordpress pode ter colocado 90 mil sites em risco
- Wordpress vira ninho de sofisticado código criador de pragas difícil de detectar
- Plugin desatualizado no Wordpress coloca em risco centenas de milhares de sites
A vulnerabilidade foi localizada pelos especialistas da Wordfence, especializada em segurança no ambiente Wordpress, e é causada por um problema na checagem de números de autenticação atribuídos aos usuários. A cada ação, como apagar uma página ou seção, é dado um código, chamado de nonce, que deve bater com os mecanismos de segurança do sistema e serve, por exemplo, para impedir modificações a partir de URLs diretas. O plugin, entretanto, não realizava essa verificação de forma adequada, permitindo a realização de alterações até mesmo por usuários com privilégios baixos de acesso.
Como estamos falando de uma extensão voltada à instalação de temas e demos do Wordpress, a ausência dessa checagem permite que sites inteiros sejam tirados do ar ou a limpeza total de bancos de dados por terceiros. De acordo com a Wordfence, até mesmo uma recuperação poderia ser impedida após um ataque desse tipo, a não ser que os próprios administradores das páginas tenham realizado backups externos.
A brecha era grave o bastante para permitir que até mesmo usuários do nível Subscriber, o mais baixo da hierarquia e comumente usado apenas para comentários, pudessem realizar tais alterações. Não apenas sites e postagens poderiam ser deletados, mas também outros usuários cadastrados, arquivos disponíveis nos servidores e configurações do próprio sistema de gerenciamento de conteúdo, basicamente, retornando toda a plataforma às preferências iniciais.
Segundo a Wordfence, a vulnerabilidade foi descoberta no final de agosto, com a ausência de resposta por parte dos desenvolvedores da extensão a levando a ser retirada do marketplace oficial do Wordpress. Ela voltou ao ar no último domingo (24), já com uma atualização que mitiga o problema — ele, porém, não foi citado nas notas de update liberadas pelos responsáveis.
De forma a se protegerem contra a abertura, a recomendação é que os usuários do Hashthemes Demo Importer atualizem o plugin imediatamente; a versão mais recente é a 1.1.4. O mesmo também vale para outras extensões, bem como para o próprio Wordpress, com a manutenção garantindo que falhas conhecidas e já mitigadas não representem risco para os administradores de sites.
Fonte: Wordfence