Mercado fechará em 2 h 2 min
  • BOVESPA

    106.995,43
    -1.946,25 (-1,79%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.263,50
    -1.335,88 (-2,59%)
     
  • PETROLEO CRU

    82,16
    -2,98 (-3,50%)
     
  • OURO

    1.833,70
    +1,90 (+0,10%)
     
  • BTC-USD

    34.207,51
    -1.075,52 (-3,05%)
     
  • CMC Crypto 200

    775,63
    -34,98 (-4,31%)
     
  • S&P500

    4.267,43
    -130,51 (-2,97%)
     
  • DOW JONES

    33.460,75
    -804,62 (-2,35%)
     
  • FTSE

    7.297,15
    -196,98 (-2,63%)
     
  • HANG SENG

    24.656,46
    -309,09 (-1,24%)
     
  • NIKKEI

    27.588,37
    +66,11 (+0,24%)
     
  • NASDAQ

    13.874,75
    -551,75 (-3,82%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2347
    +0,0447 (+0,72%)
     

Falhas em plugin de Wordpress permitem execução de código malicioso

·2 min de leitura

Faltando pouco mais de uma semana para 2021, os problemas de segurança envolvendo plugins do WordPress continuam sendo relatados por usuários e pesquisadores. Dessa vez, são duas falhas que atingem a popular extensão All in One SEO, que expôs mais de 3 milhões de endereços para ataques criminosos.

As falhas foram descobertas e alertadas para a desenvolvedora do plugin pelo pesquisador de segurança Marc Montpas. A primeira vulnerabilidade, registrada como CVE-2021-25036, permite a escalação de privilégios de usuários, enquanto a segunda, CVE-2021-25037, possibilita a injeção de comandos SQL no site.

Mesmo essas falhas necessitando de autenticação dos usuários para poderem ser usadas, elas são preocupantes pelo fato que mesmo o menor nível de privilégios, como Inscrito, dado para contas poderem comentar nos conteúdos dos sites do Wordpress, já pode utiliza-las.

A desenvolvedora do All in One SEO disponibilizou uma correção para as falhas em 7 de dezembro, porém até o fechamento desta matéria, mais de 820 mil sites que usam o plugin ainda não haviam instalado a atualização, se mantendo expostos para ataques.

Abuso fácil

<em>O All in One SEO é um plugin de Wordpress muito popular. (Imagem: Reprodução/Wordpress)</em>
O All in One SEO é um plugin de Wordpress muito popular. (Imagem: Reprodução/Wordpress)

O pesquisador Montpas identificou que para aumentar os privilégios de usuários a partir do abuso da falha CVE-2021-25036 basta substituir um caractere em algumas identificações de segurança para conseguir burlar os bloqueios de acesso nas configurações do site para cada nível de usuário.

Por conta dessa facilidade em abusar das falhas, o especialista afirma que é enorme a possibilidade de invasores usarem as vulnerabilidades para implantarem e executarem códigos maliciosos no servidor dos sites afetados, colocando em risco tanto os administradores, seus dados e os visitantes do endereço.

É de extrema importância que todos os usuários das versões 4.0.0 até 4.1.5.2 do plugin All In One SEO, afetadas pelas duas vulnerabilidades relatas, instalem o mais rápido possível a atualização 4.1.5.3, para corrigir os problemas e não correr mais o risco de sofrer com possíveis invasores abusando das falhas. Ela pode ser encontrada no site oficial da extensão.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos