Falha de SQL injection em plugin ameaça mais de 400 mil sites no WordPress
Por Jaqueline Sousa • Editado por Jones Oliveira |
Um pesquisador de segurança da empresa Acquia descobriu uma vulnerabilidade crítica que pode afetar mais de 400 mil sites hospedados no WordPress.
- Hackers exploram falha em plugin do Wordpress para acessar sites vulneráveis
- Plugin popular do WordPress permite que hackers invadam 50.000 sites como admin
A falha está na injeção de SQL não autenticada no Ally, um plugin para WordPress que funciona como uma ferramenta de acessibilidade que ajuda criadores de sites a construir páginas mais inclusivas. O recurso ainda conta com sugestões de inteligência artificial (IA) e um gerador automático de declarações de acessibilidade, sendo aplicado em milhares de sites na plataforma.
O grande problema por trás do caso é a possibilidade da extração de dados feita por agentes maliciosos com a exploração da falha, uma ação que pode causar diversos prejuízos para as vítimas.
Plugin ameaçado
Detectada em fevereiro, a vulnerabilidade crítica na injeção de SQL no plugin é derivada de uma verificação insegura na consulta de assinantes do Ally. Na prática, o plugin usa um parâmetro de URL sem utilizar o “wpdb->prepare()”, uma função do WordPress que parametriza essas solicitações.
Dessa forma, é possível que criminosos injetem um SQL malicioso para danificar o processo legítimo. O objetivo é extrair, de maneira gradual, informações confidenciais do banco de dados, como hashes de senhas.
Segundo a investigação da Acquia, a equipe de desenvolvedores do Ally foi notificada acerca da falha, que afeta todas as versões do plugin até a 4.0.3, e já divulgou uma correção na versão 4.1.0. A recomendação é que os usuários atualizem o sistema com urgência para evitar eventuais problemas.