Se gere um site ou uma loja online baseada em WordPress, é provável que já tenha ouvido falar ou utilize o NotificationX. Este plugin popular, instalado em mais de 40.000 sites, é conhecido por criar alertas de vendas e notificações de "prova social" para gerar urgência nos visitantes (o famoso efeito FOMO). No entanto, um novo alerta de segurança revela que esta ferramenta pode estar a abrir a porta a ataques informáticos graves.
Uma vulnerabilidade de severidade alta (7.2) foi descoberta, permitindo que atacantes não autenticados injetem código malicioso nos navegadores dos visitantes. A situação exige uma atualização imediata para evitar o comprometimento de dados sensíveis e a integridade das plataformas afetadas.
O perigo escondido nas pré-visualizações
A falha em questão é classificada como um Cross-Site Scripting (XSS) baseado em DOM. O problema reside na forma como o plugin processa os dados de pré-visualização, especificamente através de um parâmetro chamado nx-preview.
Em termos simples, o software não verifica nem "limpa" devidamente as informações recebidas antes de as apresentar no navegador. Isto cria uma oportunidade para que atacantes criem páginas maliciosas que, ao serem visitadas, interagem com o site vulnerável. O resultado é a execução de scripts nocivos no computador da vítima, sem que o atacante precise sequer de ter uma conta ou acesso prévio ao WordPress.
As consequências desta falha podem ser devastadoras para os administradores de sites. Se explorada com sucesso, a vulnerabilidade permite:
Roubar sessões de administradores ou editores que estejam com o login efetuado.
Executar ações em nome de utilizadores legítimos sem o seu consentimento.
Redirecionar os visitantes para sites fraudulentos ou maliciosos.
Aceder a informações sensíveis presentes no navegador.
Segundo o alerta da Wordfence, a ausência de verificações de segurança adequadas faz com que o input controlado pelo atacante seja interpretado como código executável em vez de texto inofensivo.
Uma falha nunca vem só
Além da vulnerabilidade crítica de XSS, foi identificada uma segunda falha de segurança, embora de menor gravidade (classificação 4.3). Este problema afeta a API REST do plugin, especificamente nos pontos de acesso destinados a "regenerar" e "repor" dados.
Devido à falta de verificação de permissões, utilizadores com níveis de acesso baixos (como Contribuidores) poderiam apagar ou reiniciar as estatísticas e análises de qualquer campanha do NotificationX, mesmo que não fossem os proprietários da mesma. Embora este erro não permita assumir o controlo total do site, pode causar a perda de dados analíticos importantes para a gestão do negócio.
A solução é atualizar imediatamente
A boa notícia é que a equipa de desenvolvimento do plugin já disponibilizou uma correção. Todas as versões até à 3.2.0 estão vulneráveis.
Para garantir a segurança do seu site e dos seus visitantes, deve atualizar o NotificationX para a versão 3.2.1 (ou superior) o mais rapidamente possível. Esta atualização contém as correções de segurança necessárias para fechar ambas as brechas. Caso não seja possível efetuar a atualização de imediato, a recomendação dos especialistas é desativar o plugin temporariamente até que a situação possa ser regularizada.
Nenhum comentário
Seja o primeiro!