Recentemente foi descoberto mais uma falha num plugin popular para WordPress, a qual pode ser explorada para criar contas de administrador maliciosas nos sites. Esta falha afeta o plugin “Real-Time Find and Replace”, o qual é atualmente utilizado em mais de 100.00 sites, de acordo com os dados da página do plugin.
Este plugin permite aos administradores de sites WordPress realizarem rapidamente mudanças no conteúdo dos textos e códigos de páginas, em tempo real, sem que tenham de modificar o código fonte dos temas e do site em geral. No entanto, através da exploração de falhas no plugin, é possível a utilizadores maliciosos criarem contas de administrador nos sites afetados, potencialmente permitindo o controlo total dos mesmos.
De acordo com a empresa Wordfence, responsável pela descoberta, a falha encontra-se a ser ativamente explorada para a criação de contas de administração falsas, onde os criminosos posteriormente podem eliminar os conteúdos dos sites ou modificar os mesmos, redirecionando os visitantes para potenciais conteúdos maliciosos.
Felizmente o plugin foi atualizado para corrigir esta falha poucas horas depois da mesma ter sido descoberta, o que ajudou na resolução do problema, mas ainda assim é necessário que os administradores dos sites WordPress atualizem os seus plugins para receberem a atualização.
Nos últimos cinco dias desde que a falha foi corrigida, apenas 27.460 sites terão atualizado o plugin para a versão mais recente, o que ainda deixa uma elevada margem de sites com potencial para serem explorados.
Nenhum comentário
Seja o primeiro!