Falha de plug-in do WordPress permite que você controle sites inteiros

Os proprietários de sites do WordPress que estiverem usando o plug-in Simple Social Buttons para oferecer suporte a recursos de compartilhamento de mídia social, devem atualizar o plug-in o mais rápido possível para preencher uma falha de segurança que pode ser explorada para invadir sites.

Luka Sikic, desenvolvedor e pesquisador da empresa de segurança WordPress WebARX, descobriu a falha da segurança na semana passada e relatou o problema ao autor do plugin.

Em um relatório publicado hoje, ele descreveu a questão como “um fluxo inadequado de design de aplicativo, encadeado com falta de verificação de permissão”.

Ele diz que um invasor que pode registrar novas contas em um site pode explorar essa vulnerabilidade para fazer modificações nas configurações principais de um site WordPress, fora do que o plug-in era inicialmente destinado a gerenciar.

Essas modificações podem permitir que um invasor adote sites instalando backdoors ou assumindo contas de administrador.

Em um vídeo de demonstração que ele postou no YouTube hoje, Šikić mostrou como a vulnerabilidade é perigosa ao alterar o endereço de e-mail associado à conta de administrador de um site do WordPress.

Sikic diz que notificou a WPBrigade, a empresa por trás do plugin, na semana passada, e divulgou um patch um dia após o seu relatório.

Os usuários são aconselhados a instalar o Simple Social Buttons versão 2.0.22, lançado na última sexta-feira, 8 de fevereiro.

A questão não deve ser tomada de ânimo leve devido às suas consequências. Alguns sites são inerentemente protegidos contra essa vulnerabilidade, pois seus administradores já bloquearam o registro do usuário por motivos de segurança.

No entanto, os sites que permitem que os usuários se registrem para postar comentários nas postagens do blog estejam vulneráveis ​​a ataques e devem aplicar a atualização do plug-in o mais rápido possível.

O plugin foi instalado em mais de 40.000 sites , de acordo com estatísticas do repositório oficial de plugins do WordPress, tornando-se um alvo atraente para os operadores de botnets do WordPress.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.