Falha de plug-in do WordPress dá acesso e controle total de sites a invasores | WeLiveSecurity

Falha de plug-in do WordPress dá acesso e controle total de sites a invasores

Uma falha descoberta em um plug-in, que oferece suporte a recursos de compartilhamento de mídia social em páginas do WordPress, permite que um invasor possa controlar sites.

Uma falha descoberta em um plug-in, que oferece suporte a recursos de compartilhamento de mídia social em páginas do WordPress, permite que um invasor possa controlar sites.

Nesta semana, pesquisadores revelaram a existência de uma vulnerabilidade em um conhecido plug-in do WordPress, chamado Simple Social Buttons, que permite que um invasor assuma o controle de sites.

Simple Social Buttons é um complemento que oferece suporte a recursos para o Facebook, Twitter, WhatsApp, LinkledIn e outras redes sociais em diferentes partes de um site para que os usuários possam compartilhar o conteúdo publicado através de diferentes plataformas. A ferramenta, que registra mais de 40.000 instalações ativas, já possui uma versão atualizada (2.0.22) que repara a falha. Por isso, recomendamos a todos os usuários que contam com esse plug-in que o atualizem para a versão mais recente o mais rápido possível.

O bug, descoberto pela empresa de tecnologia WebARX, afetou as versões que vão de 2.0.4 a 2.0.22, nas quais o patch de segurança foi introduzido.

De acordo com a descrição feita pelos especialistas por trás da descoberta, a falha consiste em um erro de fluxo de projeto inadequado associado à falta de revisão de permissões. Como consequência, o erro permite que um possível invasor aumente privilégios e execute ações para as quais ele não está autorizado, como fazer alterações na configuração principal do site do WordPress. Desta forma, ao poder fazer essas alterações, um invasor assume o controle de um site através da instalação de backdoors.

Em um vídeo publicado pelos pesquisadores que relataram a falha, é possível entender como o bug pode ser perigo, já que o erro permite alterar o endereço de email associado à conta do administrador do site.

Apenas ontem (13), a nova versão foi baixada mais de 500 vezes. No total, nos últimos 7 dias, foram realizados 8.435 download dessa versão. Se você usa esse plug-in em seu site e ainda não o atualizou, faça isso acessando aqui.

Discussão