Wordpress | Brecha de autenticação em plugin pode atingir 500 mil sites

Wordpress | Brecha de autenticação em plugin pode atingir 500 mil sites

Por Felipe Demartini | Editado por Claudio Yuge | 14 de Abril de 2022 às 14h20
Divulgação/Elementor Website Builder

Uma falha crítica no plugin Elementor Website Builder, para a plataforma de gerenciamento Wordpress, pode atingir 500 mil sites. A abertura, para a qual já está disponível uma atualização, está no sistema de gerenciamento de usuários, permitindo que utilizadores registrados, mas com privilégios mais baixos, realizem alterações remotas no domínio e nas páginas como se fossem administradores.

O alerta sobre o assunto foi publicado pelos especialistas do serviço Plugin Vulnerabilities, que como o nome já diz, é focado em descobrir brechas de segurança em extensões do Wordpress. O relatório acompanha a divulgação da atualização 3.6.3, que mitiga o problema e deve ser aplicada imediatamente por todos os webmasters que tiverem a solução rodando em suas páginas.

De acordo com os pesquisadores, a abertura decorre da ausência de uma checagem essencial de segurança pelo plugin, que tem elementos que acabam sendo carregados mesmo para os usuários que não teriam as permissões necessárias. A partir daí, um utilizador malicioso poderia utilizar a brecha para introduzir arquivos maliciosos nos servidores originais de um site, assim como modificar completamente sua aparência.

O maior temor de explorações desse tipo é quanto ao uso de domínios e serviços legítimos e reconhecidos para disseminar malwares ou induzir seus usuários a golpes. Além disso, outra possibilidade é a desfiguração completa das páginas, causando prejuízos a empresas que utilizem a plataforma de gerenciamento de conteúdo.

A recomendação é de atualização urgente do Elementor, já que a correção para a brecha está disponível desde o dia 22 de março. Agora que os detalhes técnicos foram publicados, entretanto, sempre existe a possibilidade de ação de criminosos contra os sites que não aplicaram o update ainda. De acordo com dados da própria plataforma Wordpress, até esta quarta-feira (13), 30,7% dos sites com a extensão já haviam aplicado a atualização que corrige o problema.

Fonte: Plugin Vulnerabilities

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.