O WordPress é uma das plataformas mais conhecidas para a criação de sites na internet, e usada por alguns dos maiores websites na mesma. Uma das vantagens encontra-se no suporte para plugins, que permitem adicionar novas funcionalidades à base do mesmo.
Porém, isto também abre portas para que falhas existentes nesses plugins afetem os sites diretamente. E recentemente foi descoberta uma falha sobre um plugin usado por mais de 3 milhões de sites.
A falha foi descoberta no plugin Updraft Plus, um dos mais usados para ajudar a realizar o backup e migração de sites WordPress. O plugin base encontra-se instalado em mais de 3 milhões de sites, de acordo com os dados do próprio repositório do WordPress.
O plugin permite que os utilizadores possam realizar, de forma automática ou manual, o backup dos seus sites para diferentes plataformas, ou ajudar na migração do mesmo para outros sistemas.
No entanto, os investigadores da empresa de segurança Wordfence revelaram ter descoberto uma falha grave no plugin, que pode permitir aos atacantes enviarem comandos remotamente para o mesmo, e eventualmente, terem acesso a funcionalidades administrativas do WordPress.
Os investigadores apontam a falha no UpdraftPlus: WP Backup & Migration como sendo relativamente grave, e embora tenham notificado os criadores do mesmo, estes aparentam não ter aceite a mesma como uma “falha de segurança”. A falha, se explorada, pode permitir que certos componentes do PHP no plugin sejam explorados para levar à instalação de outros plugins maliciosos ou código que permite o acesso administrativo ao site.
Os utilizadores que tenham este plugin instalado são aconselhados a atualizarem o mais rapidamente possível para a versão mais recente, que neste momento é a 1.24.12 – tanto na versão gratuita do mesmo como na Premium (paga).
Nenhum comentário
Seja o primeiro!