1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


Wordpress com hacker

O popular plugin Avada Builder para o sistema de gestão de conteúdos WordPress está no centro das atenções devido à descoberta de duas vulnerabilidades graves. Estas falhas permitem que atacantes consigam ler ficheiros confidenciais do servidor ou extrair dados sensíveis da base de dados, afetando cerca de um milhão de instalações ativas em todo o mundo.

Segundo as informações partilhadas pela Wordfence, os problemas foram identificados pelo investigador de segurança Rafie Muhammad. Pela descoberta destas falhas, o especialista recebeu recompensas que totalizam aproximadamente 3.115 euros e 982 euros, através do programa de recompensas por erros da plataforma.

Leitura de ficheiros e injeção de SQL

A primeira falha, registada como CVE-2026-4782, permite que utilizadores autenticados com permissões básicas, como o nível de subscritor, consigam ler qualquer ficheiro no servidor. Esta vulnerabilidade reside na forma como o plugin processa ficheiros SVG personalizados. Através desta brecha, é possível aceder ao ficheiro wp-config.php, que contém as credenciais de acesso à base de dados e chaves de segurança críticas, o que pode levar ao controlo total do site.

A segunda falha, identificada como CVE-2026-4798, trata-se de uma injeção de SQL que não exige autenticação para ser explorada. No entanto, este cenário de ataque apenas é possível se o plugin de comércio eletrónico WooCommerce tiver sido ativado e, posteriormente, desativado no site. Se as tabelas da base de dados permanecerem intactas, um atacante pode extrair informações sensíveis, incluindo hashes de palavras-passe dos utilizadores.

Recomendações de segurança e correção

Esta falha foi reportada aos responsáveis pelo Avada Builder no final de março. Embora uma correção parcial tenha surgido em abril, apenas a versão 3.15.3, lançada no dia 12 de maio de 2026, resolve totalmente ambos os problemas de segurança.

Por esse motivo, é fundamental que os administradores de sistemas que utilizam este WordPress atualizem o plugin o mais depressa possível. O acesso a ficheiros de configuração pode comprometer contas de administrador e permitir a invasão completa do servidor, sendo um risco que não deve ser ignorado.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech