Publicidade
Economize: canal oficial do CT Ofertas no WhatsApp Entrar
Home
Notícias
Segurança

WordPress força atualização de sites que utilizam plugin com falha crítica

Por| Editado por Claudio Yuge | 18 de Fevereiro de 2022 às 20h20

Link copiado!

Pixabay/doki7
Pixabay/doki7

Após tantos problemas com plugins utilizados em sua plataforma, o WordPress adotou uma nova estratégia para a mitigação mais rápida de falhas envolvendo a extensão UpdraftPlus, que teve vulnerabilidades recentemente descobertas: atualizar forçadamente todos os 3 milhões de sites que a utilizam.

A falha no plugin UpdraftPlus é bem crítica, permitindo que invasores possam, a partir dela, realizar o download dos backups mais recentes dos bancos de dados de sites que utilizam a extensão — o que, normalmente, pode incluir credenciais de acessos de administradores.

A falha foi descoberta pelo pesquisador de cibersegurança Marc Montpass em 14 de fevereiro, sendo registrada com o código CVE-2022-0633, com uma nota de severidade de 5.5. Ela afeta o UpdraftPlus versão 1.16.7 até 1.22.2.

Continua após a publicidade

Como mais de 3 milhões de sites utilizam o plugin, a falha poderia afetar uma parte substancial da internet, o que explica a decisão do WordPress em forçar a atualização — mesmo para páginas sem qualquer tipo de sistema de login público, que segundo o relatório divulgado pelo pesquisador, não podem ser afetados pela vulnerabilidade.

Atualização do WordPress já foi implementada em mais da metade dos sites afetados

Depois que o relatório publico da falha foi publicado em 14 de fevereiro, os desenvolvedores do plugin lançaram quase que imediatamente as versões 1.22.3 e 1.22.4 da ferramenta, que já contavam com a correção do problema— e então, em 16 de fevereiro, o WordPress começou a forçar a instalação dessas novas distribuições da extensão.

Continua após a publicidade

Segundo informações do WordPress sobre o plugin, no dia 16, quando a atualização forçada foi implementada, 783 mil sites a realizarem, somados a mais 1,7 milhão no dia 17 — o que significa que mais da metade das páginas que utilizam a extensão já estão protegidas da vulnerabilidade.

Para administradores de sites WordPress que utilizem o plugin e ainda não tenham recebido a atualização, as novas versões podem ser aplicadas manualmente a partir das configurações de segurança no Painel de Controle.

Fonte: BleepingComputer