Mercado abrirá em 3 h 3 min
  • BOVESPA

    115.062,54
    -1.118,01 (-0,96%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    52.192,33
    +377,16 (+0,73%)
     
  • PETROLEO CRU

    72,58
    -0,03 (-0,04%)
     
  • OURO

    1.782,90
    -11,90 (-0,66%)
     
  • BTC-USD

    47.955,35
    +800,98 (+1,70%)
     
  • CMC Crypto 200

    1.234,74
    +37,52 (+3,13%)
     
  • S&P500

    4.480,70
    +37,65 (+0,85%)
     
  • DOW JONES

    34.814,39
    +236,82 (+0,68%)
     
  • FTSE

    7.054,10
    +37,61 (+0,54%)
     
  • HANG SENG

    24.667,85
    -365,36 (-1,46%)
     
  • NIKKEI

    30.323,34
    -188,37 (-0,62%)
     
  • NASDAQ

    15.462,50
    -41,50 (-0,27%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1907
    -0,0053 (-0,09%)
     

Plugin desatualizado no Wordpress coloca em risco centenas de milhares de sites

·2 minuto de leitura

Caso você seja usuário do Wordpress e use o plugin SEOPress, é bom se assegurar de que ele está atualizado para sua versão mais recente. Uma investigação conduzida pelos especialistas em defesa digital da Wordfence descobriu que uma falha nas versões antigas da ferramenta está comprometendo a proteção de centenas de milhares de sites.

Isso se deve ao alcance do SEOPress, cuja popularidade o levou a ser instalado em mais de 100 mil páginas que usam os sistemas de publicação do Wordpress. Segundo os pesquisadores responsáveis pela descoberta, a brecha permite que um atacante injete scripts maliciosos que atuam no roubo de páginas completas.

Chloe Chamberland, analista de ameaças na Wordfence, afirma que o problema reside na capacidade do plugin de adicionar título e descrição de SEO às publicações. Isso pode ser feito enquanto o usuário também atualiza seu material com edições, o que depende de um endpoint REST-API — que, por ter sido implementado de forma insegura, torna possível a realização de ataques.

Atualização imediata é recomendada

Além de permitir que um atacante ganhe domínio completo sobre uma conta no Wordpress, o problema também permite a criação de novas contas com privilégios administrativos, injeções webshell e redirecionamentos automáticos. Assim, um site conhecido pode ser manipulado para redirecionar os visitantes a uma página falsa na qual são expostos a malwares e outras ameaças, por exemplo.

Imagem: Divulgação/SEOPress
Imagem: Divulgação/SEOPress

Segundo Chamberland, os responsáveis pelo SEOPress foram alertados sobre o problema no dia 29 de julho e deram uma resposta sobre ele no dia seguinte. Poucos depois, no dia 4 de agosto, os desenvolvedores lançaram a versão 5.0.4 que deve ser instalada o quanto antes — no entanto, quem não fez isso não está totalmente desprotegido.

Em resposta a uma pergunta feita na sessão de comentários, Chamberland apontou que o erro detectado só acontece na versão 5.0.0 em diante do SEOPress. Quem possui versões anteriores (e decidiu adiar a atualização enquanto espera pela correção de bugs) não está sujeito à brecha, mas pode estar vulnerável a outros problemas que já foram corrigidos pelos criadores do plugin.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos