Falhas em plugin de Wordpress permitem execução de código malicioso

Falhas em plugin de Wordpress permitem execução de código malicioso

Por Dácio Castelo Branco | Editado por Claudio Yuge | 22 de Dezembro de 2021 às 19h30

Faltando pouco mais de uma semana para 2021, os problemas de segurança envolvendo plugins do WordPress continuam sendo relatados por usuários e pesquisadores. Dessa vez, são duas falhas que atingem a popular extensão All in One SEO, que expôs mais de 3 milhões de endereços para ataques criminosos.

As falhas foram descobertas e alertadas para a desenvolvedora do plugin pelo pesquisador de segurança Marc Montpas. A primeira vulnerabilidade, registrada como CVE-2021-25036, permite a escalação de privilégios de usuários, enquanto a segunda, CVE-2021-25037, possibilita a injeção de comandos SQL no site.

Mesmo essas falhas necessitando de autenticação dos usuários para poderem ser usadas, elas são preocupantes pelo fato que mesmo o menor nível de privilégios, como Inscrito, dado para contas poderem comentar nos conteúdos dos sites do Wordpress, já pode utiliza-las.

A desenvolvedora do All in One SEO disponibilizou uma correção para as falhas em 7 de dezembro, porém até o fechamento desta matéria, mais de 820 mil sites que usam o plugin ainda não haviam instalado a atualização, se mantendo expostos para ataques.

Abuso fácil

O All in One SEO é um plugin de Wordpress muito popular. (Imagem: Reprodução/Wordpress)

O pesquisador Montpas identificou que para aumentar os privilégios de usuários a partir do abuso da falha CVE-2021-25036 basta substituir um caractere em algumas identificações de segurança para conseguir burlar os bloqueios de acesso nas configurações do site para cada nível de usuário.

Por conta dessa facilidade em abusar das falhas, o especialista afirma que é enorme a possibilidade de invasores usarem as vulnerabilidades para implantarem e executarem códigos maliciosos no servidor dos sites afetados, colocando em risco tanto os administradores, seus dados e os visitantes do endereço.

É de extrema importância que todos os usuários das versões 4.0.0 até 4.1.5.2 do plugin All In One SEO, afetadas pelas duas vulnerabilidades relatas, instalem o mais rápido possível a atualização 4.1.5.3, para corrigir os problemas e não correr mais o risco de sofrer com possíveis invasores abusando das falhas. Ela pode ser encontrada no site oficial da extensão.

Fonte: BleepingComputer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.