Se possui um website baseado em WordPress, existe uma forte possibilidade que já tenha ouvido falar, ou até esteja a usar o plugin “All in One”. Se o faz, então está possivelmente na lista de 800.000 outros websites que também o utilizam, e estão agora em risco de ser comprometidos.
Foi recentemente identificada uma vulnerabilidade sobre o plugin “All in One” para WordPress, que quando explorada permite aos atacantes terem total controlo do website, o que inclui a capacidade de aceder aos dados do mesmo e modificar posts, ou simplesmente recolher dados dos utilizadores.
De acordo com a descoberta do investigador de segurança da Automattic, Marc Montpas, a falha afeta todas as versões do plugin “All in One” que foram lançadas antes do dia 7 de Dezembro. Foi também neste dia que a versão corrigida do plugin foi lançada para os utilizadores.
Apesar de uma vasta maioria – o plugin conta com mais de 3 milhões de instalações ativas – terem atualizado para a versão mais recente, ainda existem cerca de 820.000 sites com versões antigas e vulneráveis, que agora estão em risco de serem comprometidos.
Tendo em conta a gravidade da falha, e uma vez que esta é agora conhecida, será bastante provável que se comecem a verificar ataques na tentativa de explorar a mesma. O recomendado será que os gestores de websites atualizem de imediato as suas instalações para a versão mais recente do plugin.
Nenhum comentário
Seja o primeiro!