Um grupo de investigadores de segurança revelou ter descoberto uma nova falha sobre um plugin popular do WordPress, usado por mais de 30.000 websites a nível mundial.
O plugin “PHP Everywhere” permite aos administradores de websites WordPress colocarem código PHP em várias secções do mesmo de forma simples e rápida. No entanto, um grupo de investigadores revelou ter descoberto uma nova falha sobre o mesmo, que pode permitir a execução remova de código nos websites.
Investigadores da empresa Wordfence afirmam ter descoberto três falhas sobre o plugin, que quando exploradas podem permitir realizar ataques sobre os websites onde o plugin se encontre instalado.
A falha afeta todas as versões 2.0.3 ou inferior, sendo que quem tenha o plugin atualizado para a versão mais recente deverá encontrar-se seguro.
Duas das falhas descobertas, apesar de graves, necessitam de acesso prévio ao website para serem exploradas, nomeadamente com contas de utilizador que tenham permissões de contribuidor. No entanto, uma das falhas pode ser explorada facilmente através de código remoto por um utilizador subscrito no site.
A falha foi inicialmente descoberta no dia 4 de Janeiro de 2022, sendo que os investigadores indicaram a mesma aos criadores do plugin. A correção foi lançada sobre a versão 3.0.0 a 10 de Janeiro de 2022, sendo aconselhado que todos os utilizadores atualizem para esta versão.
Nenhum comentário
Seja o primeiro!