Mercado fechará em 51 mins
  • BOVESPA

    130.076,58
    -131,38 (-0,10%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.846,55
    -182,99 (-0,36%)
     
  • PETROLEO CRU

    72,23
    +1,35 (+1,90%)
     
  • OURO

    1.858,90
    -7,00 (-0,38%)
     
  • BTC-USD

    40.631,61
    +921,59 (+2,32%)
     
  • CMC Crypto 200

    1.010,55
    -0,05 (-0,01%)
     
  • S&P500

    4.248,40
    -6,75 (-0,16%)
     
  • DOW JONES

    34.308,22
    -85,53 (-0,25%)
     
  • FTSE

    7.172,48
    +25,80 (+0,36%)
     
  • HANG SENG

    28.638,53
    -203,60 (-0,71%)
     
  • NIKKEI

    29.441,30
    +279,50 (+0,96%)
     
  • NASDAQ

    14.033,25
    -91,50 (-0,65%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1162
    -0,0153 (-0,25%)
     

Wordpress | Falha grave atinge plugin usado por mais de 17 mil sites

·2 minuto de leitura

Uma falha grave de segurança foi descoberta em um plugin de Wordpress presente em mais de 17 mil sites, principalmente aqueles focados em moda, presentes e outros itens que podem ser personalizados pelo próprio usuário. A extensão paga Fancy Product Designer é voltada para que os donos de pequenos e-commerces permitam que seus clientes enviem imagens próprias para personalização dos produtos.

Em teoria, a tecnologia faz uma checagem que autoriza apenas o upload de imagens ou arquivos em PDF de acordo com as necessidades de cada comércio. Entretanto, especialistas em segurança descobriram que essa proteção pode ser burlada e, mais do que isso, vem sendo ativamente utilizada por criminosos em sites que utilizam a plataforma.

De acordo com os pesquisadores da Wordfence, responsáveis pela divulgação da brecha, um atacante poderia ultrapassar as defesas do Fancy Product Designer para hospedar arquivos maliciosos nos servidores de terceiros. A partir daí, seria possível disseminar malwares, roubar dados ou até a tomar do site como um todo, a partir de códigos remotos que podem ser usados a partir dos dados comprometidos enviados à infraestrutura.

<em>Plugin do Wordpress, Fancy Product Designer permite a customização de produtos a partir de imagens enviadas pelo usuário; falha também abre as portas para a hospedagem de arquivos maliciosos da mesma maneira (Imagem: Divulgação/Fancy Product Designer)</em>
Plugin do Wordpress, Fancy Product Designer permite a customização de produtos a partir de imagens enviadas pelo usuário; falha também abre as portas para a hospedagem de arquivos maliciosos da mesma maneira (Imagem: Divulgação/Fancy Product Designer)

Pior do que a ideia de que esta é uma brecha em utilização por criminosos é a de que ainda não há uma atualização disponível para resolver o problema. Em sua divulgação, os especialistas falaram pouco sobre a vulnerabilidade, justamente para não popularizar seu uso, enquanto compartilharam todos os detalhes com os desenvolvedores do plugin, que disseram estar agindo rápido para liberar um update o mais rapidamente possível.

Por isso, a recomendação a todos os webmasters é que o plugin seja deletado dos sistemas até que uma correção esteja disponível. A Wordfence alerta que, mesmo quando desativado, o Fancy Product Designer pode representar um risco de segurança, já que a vulnerabilidade citada permanece disponível; daí a indicação pela desinstalação até que a brecha seja mitigada, o que ainda não tem data para acontecer e pode representar um problema para os clientes do plugin, pago, que dependem de seus recursos para o funcionamento dos negócios.

Fonte: Canaltech

Trending no Canaltech: