Wordpress | Falha grave atinge plugin usado por mais de 17 mil sites

Wordpress | Falha grave atinge plugin usado por mais de 17 mil sites

Por Felipe Demartini | Editado por Jones Oliveira | 03 de Junho de 2021 às 21h00
Divulgação/Fancy Product Designer

Uma falha grave de segurança foi descoberta em um plugin de Wordpress presente em mais de 17 mil sites, principalmente aqueles focados em moda, presentes e outros itens que podem ser personalizados pelo próprio usuário. A extensão paga Fancy Product Designer é voltada para que os donos de pequenos e-commerces permitam que seus clientes enviem imagens próprias para personalização dos produtos.

Em teoria, a tecnologia faz uma checagem que autoriza apenas o upload de imagens ou arquivos em PDF de acordo com as necessidades de cada comércio. Entretanto, especialistas em segurança descobriram que essa proteção pode ser burlada e, mais do que isso, vem sendo ativamente utilizada por criminosos em sites que utilizam a plataforma.

De acordo com os pesquisadores da Wordfence, responsáveis pela divulgação da brecha, um atacante poderia ultrapassar as defesas do Fancy Product Designer para hospedar arquivos maliciosos nos servidores de terceiros. A partir daí, seria possível disseminar malwares, roubar dados ou até a tomar do site como um todo, a partir de códigos remotos que podem ser usados a partir dos dados comprometidos enviados à infraestrutura.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Plugin do Wordpress, Fancy Product Designer permite a customização de produtos a partir de imagens enviadas pelo usuário; falha também abre as portas para a hospedagem de arquivos maliciosos da mesma maneira (Imagem: Divulgação/Fancy Product Designer)

Pior do que a ideia de que esta é uma brecha em utilização por criminosos é a de que ainda não há uma atualização disponível para resolver o problema. Em sua divulgação, os especialistas falaram pouco sobre a vulnerabilidade, justamente para não popularizar seu uso, enquanto compartilharam todos os detalhes com os desenvolvedores do plugin, que disseram estar agindo rápido para liberar um update o mais rapidamente possível.

Por isso, a recomendação a todos os webmasters é que o plugin seja deletado dos sistemas até que uma correção esteja disponível. A Wordfence alerta que, mesmo quando desativado, o Fancy Product Designer pode representar um risco de segurança, já que a vulnerabilidade citada permanece disponível; daí a indicação pela desinstalação até que a brecha seja mitigada, o que ainda não tem data para acontecer e pode representar um problema para os clientes do plugin, pago, que dependem de seus recursos para o funcionamento dos negócios.

Fonte: Wordfence

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.