Uma nova vulnerabilidade identificada no plugin do WordPress “Modern Events Calendar” encontra-se agora a ser ativamente explorada para ataques.
Este plugin foi desenvolvido pela entidade Webnus, e segundo os dados da WordPress, encontra-se atualmente instalado em 150.000 websites pela internet. O mesmo foca-se em ajudar os administradores dos sites a gerirem eventos em larga escala.
A falha foi descoberta pelo investigador Friderika Baranyai, da WordFence, sendo que, caso seja explorada, pode permitir que terceiros tenham acesso a dados dom site ou até o total controlo do mesmo.
Caso os eventos tenham um formulário de upload de conteúdos, que normalmente é usado para enviar pequenas imagens, os atacantes podem explorar o mesmo para enviar qualquer ficheiro, incluindo ficheiros contendo código malicioso, que pode depois ser diretamente acedido pelos mesmos.
Estes ficheiros podem permitir o acesso à configuração do WordPress, e eventualmente, a obter o controlo total do site. A falha já estaria a ser ativamente explorada, mas agora que se encontra pública, certamente que o numero de ataques deve aumentar.
Os administradores de sites WordPress com este plugin são aconselhados a atualizarem imediatamente os mesmos para a versão mais recente.
Nenhum comentário
Seja o primeiro!