
A extensão Quick Page/Post Redirect, utilizada em mais de 70 mil sites criados em WordPress, continha uma porta traseira durante os últimos cinco anos capaz de injetar código arbitrário. A descoberta foi feita por Austin Ginder, de acordo com informações da Anchor, após alertas de segurança em doze plataformas distintas da sua empresa de alojamento.
O mecanismo da vulnerabilidade
O problema teve origem nas versões 5.2.1 e 5.2.2, disponibilizadas entre 2020 e 2021. Estas incluíam um sistema próprio de atualização que comunicava diretamente com um servidor externo. Este método permitia a injeção de código sem qualquer supervisão da equipa oficial responsável pela gestão de extensões.
Em fevereiro de 2021, a funcionalidade problemática foi removida das versões disponibilizadas oficialmente, antes mesmo de os revisores de código a poderem analisar. No entanto, no mês seguinte, os sites que ainda usavam as versões vulneráveis receberam uma atualização silenciosa para uma versão 5.2.3 modificada, distribuída a partir do endereço externo, que instalou uma porta traseira passiva. O código desta versão diferia daquele que se encontrava disponível nas fontes oficiais.
Impacto no motor de pesquisa e solução
Para evitar alertar os administradores das páginas, o código malicioso apenas era ativado para utilizadores não autenticados. A sua principal função era recolher dados do servidor externo para alimentar operações de correio não solicitado focado em otimização para motores de pesquisa, alugando essencialmente a posição desses milhares de sites no índice de resultados.
O perigo principal reside na capacidade deste mecanismo de atualização para executar qualquer tipo de código a pedido. Atualmente, o subdomínio de comando utilizado pelos atacantes não resolve, mas o domínio principal permanece ativo, mantendo o risco elevado para os milhares de sites que ainda têm a ferramenta instalada com o sistema de verificação externo.
Como medida de precaução, a extensão foi retirada temporariamente do diretório oficial de transferências. A recomendação clara para todos os utilizadores afetados passa pela remoção imediata da ferramenta, devendo a mesma ser substituída por uma cópia limpa da versão 5.2.4 assim que esta voltar a estar acessível. O investigador deixa ainda o apelo para que os responsáveis pela falha publiquem uma atualização forçada que transite todas as instalações para a versão limpa oficial, eliminando a ameaça de forma definitiva.












Nenhum comentário
Seja o primeiro!