Mercado fechado
  • BOVESPA

    105.069,69
    +603,45 (+0,58%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.597,29
    -330,09 (-0,65%)
     
  • PETROLEO CRU

    66,22
    -0,28 (-0,42%)
     
  • OURO

    1.782,10
    +21,40 (+1,22%)
     
  • BTC-USD

    49.306,86
    +852,76 (+1,76%)
     
  • CMC Crypto 200

    1.367,14
    -74,62 (-5,18%)
     
  • S&P500

    4.538,43
    -38,67 (-0,84%)
     
  • DOW JONES

    34.580,08
    -59,71 (-0,17%)
     
  • FTSE

    7.122,32
    -6,89 (-0,10%)
     
  • HANG SENG

    23.766,69
    -22,24 (-0,09%)
     
  • NIKKEI

    28.029,57
    +276,20 (+1,00%)
     
  • NASDAQ

    15.687,50
    -301,00 (-1,88%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,3953
    +0,0151 (+0,24%)
     

Falha em plugin do Wordpress coloca em risco informações de 1 milhão de sites

·2 min de leitura

Tem sido tempos difíceis para os plugins do Wordpress. Nesta quinta-feira (28), foi descoberto que a ferramenta OptinMonster tem uma falha de segurança crítica, que permite acesso de APIs não autorizadas a informações sensíveis em mais de um milhão de sites da plataforma.

OptinMonster é um dos plugins mais populares do Wordpress, sendo usado para criar formulários artísticos que podem ajudar a converter visitantes dos sites em inscritos ou clientes. A ferramente é fácil de ser usado, e pode ser encontrada em aproximadamente um milhão de páginas.

A falha, identificada como CVE-2021-39341, foi descoberta pela pesquisadora Chloe Chamberland em 28 de setembro, e uma correção foi disponibilizada no dia 7 de outubro, na versão 2.6.5 do plugin.

Além disso, após o relatório publicado pela pesquisadora, os desenvolvedores do OptinMonster afirmaram que a ferramenta está precisando de uma reformulação de segurança completa. Eles recomendam a atualização do plugin o mais rápido possível, sempre que uma nova versão estiver disponível.

É importante lembrar que a falha do OptinMonster é o quarto caso de vulnerabilidades em plugins do Wordpress notificadas nos últimos 3 meses. A mais recente foi identificada na ferramenta Hashthemes Demo, e, caso explorada, poderia ocasionar a remoção de sites do ar.

Entendendo a vulnerabilidade

Como explicado pela pesquisadora em seu relatório sobre a falha, o OptinMonster faz uso de APIs para o pleno funcionamento de sua integração com outros serviços. API é o nome de um conjunto de padrões que fazem parte de uma interface, e que permitem a criação de plataformas de maneira mais simples e prática para desenvolvedores.

Porém, a implementação desses conjuntos pelo OptionMonster nem sempre são seguras, com uma falha crítica no processo podendo expor informações sensíveis, como as chaves de API usadas pelo site e o caminho que a página percorre para comunicar-se com seus servidores, para agentes sem autorização.

A partir do uso dessas informações, invasores podem modificar configurações do OptinMonster, ou até mesmo implantar agentes maliciosos na página, para infectar visitantes sempre que as funções do plugin forem utilizadas.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos