Foi descoberta uma vulnerabilidade crítica, classificada com uma severidade de 9.8 numa escala de 1 a 10, num popular plugin para WordPress. O plugin em questão, denominado Crawlomatic Multisite Scraper Post Generator, permite que qualquer pessoa envie ficheiros maliciosos para os websites afetados, abrindo portas a possíveis ataques de execução remota de código.
O que é o Crawlomatic e para que serve?
O Crawlomatic é um plugin premium para WordPress, comercializado através da loja Envato CodeCanyon pelo valor de 59 dólares (aproximadamente 54€ por licença). A sua principal funcionalidade é permitir aos utilizadores extrair ("raspar" ou "scrape") conteúdo de diversas fontes na internet, como fóruns, dados meteorológicos, artigos de feeds RSS ou diretamente de outras páginas web. Este conteúdo é depois automaticamente publicado no site do utilizador.
A página de venda do plugin na CodeCanyon destaca que o seu autor foi reconhecido por cumprir os "padrões de qualidade do WordPress" e exibe um selo de conformidade com os "Requisitos WP da Envato". Este selo sugere que o plugin cumpre os padrões de segurança, qualidade, desempenho e codificação definidos pela Envato para plugins e temas WordPress. A descrição do Crawlomatic promete ainda a capacidade de extrair conteúdo de praticamente qualquer website, incluindo aqueles baseados em JavaScript, com a promessa ambiciosa de transformar o site do utilizador numa "máquina de fazer dinheiro".
A vulnerabilidade de nível 9.8: Upload de ficheiros sem verificação
A falha de segurança reside na ausência de uma validação adequada do tipo de ficheiro em todas as versões do plugin Crawlomatic anteriores e incluindo a versão 2.6.8.1. De acordo com um alerta emitido pela empresa de segurança Wordfence, esta lacuna é explorável através da função crawlomatic_generate_featured_image().
A Wordfence explica: "O plugin Crawlomatic Multipage Scraper Post Generator para WordPress é vulnerável a uploads arbitrários de ficheiros devido à falta de validação do tipo de ficheiro na função crawlomatic_generate_featured_image() em todas as versões até, e incluindo, a 2.6.8.1. Isto torna possível que atacantes não autenticados enviem ficheiros arbitrários para o servidor do site afetado, o que pode possibilitar a execução remota de código." Por "atacantes não autenticados" entende-se que qualquer pessoa, sem necessidade de credenciais de acesso ao site, pode explorar esta falha.
Impacto e recomendação urgente
A capacidade de enviar ficheiros arbitrários para um servidor é uma vulnerabilidade de elevada gravidade, pois pode permitir que os atacantes instalem software malicioso, modifiquem ficheiros existentes ou, no pior cenário, obtenham controlo total sobre o website comprometido.
A Wordfence recomenda veementemente que todos os utilizadores do plugin Crawlomatic atualizem para, no mínimo, a versão 2.6.8.2 o mais rapidamente possível para mitigar este risco de segurança.
Nenhum comentário
Seja o primeiro!