/i582774.jpeg)
Wordpress | Brecha de autenticação em plugin pode atingir 500 mil sites
Uma falha crítica no plugin Elementor Website Builder, para a plataforma de gerenciamento Wordpress, pode atingir 500 mil sites. A abertura, para a qual já está disponível uma atualização, está no sistema de gerenciamento de usuários, permitindo que utilizadores registrados, mas com privilégios mais baixos, realizem alterações remotas no domínio e nas páginas como se fossem administradores.
- Wordpress | 29% das falhas críticas em plugins não são corrigidas
- Apps com mais de 45 milhões de downloads roubavam dados sensíveis de usuários
O alerta sobre o assunto foi publicado pelos especialistas do serviço Plugin Vulnerabilities, que como o nome já diz, é focado em descobrir brechas de segurança em extensões do Wordpress. O relatório acompanha a divulgação da atualização 3.6.3, que mitiga o problema e deve ser aplicada imediatamente por todos os webmasters que tiverem a solução rodando em suas páginas.
De acordo com os pesquisadores, a abertura decorre da ausência de uma checagem essencial de segurança pelo plugin, que tem elementos que acabam sendo carregados mesmo para os usuários que não teriam as permissões necessárias. A partir daí, um utilizador malicioso poderia utilizar a brecha para introduzir arquivos maliciosos nos servidores originais de um site, assim como modificar completamente sua aparência.
O maior temor de explorações desse tipo é quanto ao uso de domínios e serviços legítimos e reconhecidos para disseminar malwares ou induzir seus usuários a golpes. Além disso, outra possibilidade é a desfiguração completa das páginas, causando prejuízos a empresas que utilizem a plataforma de gerenciamento de conteúdo.
A recomendação é de atualização urgente do Elementor, já que a correção para a brecha está disponível desde o dia 22 de março. Agora que os detalhes técnicos foram publicados, entretanto, sempre existe a possibilidade de ação de criminosos contra os sites que não aplicaram o update ainda. De acordo com dados da própria plataforma Wordpress, até esta quarta-feira (13), 30,7% dos sites com a extensão já haviam aplicado a atualização que corrige o problema.
Fonte: Plugin Vulnerabilities
Gostou dessa matéria?
Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.