This post is also available in: Português
Vulnerabilidade de dia zero em plugin pode permitir a criação de usuários sem autorização.
Uma vulnerabilidade crítica identificada no plugin The Plus Addons para o WordPress pode ser explorada para obter privilégios administrativos nos sites com a ferramenta.
Com mais de 30 mil instalações até o momento, The Plus Addons é um plugin premium que foi projetado para adicionar vários widgets a serem usados com o popular gerenciador de sites WordPress Elementor.
O problema está em um dos widgets adicionados, que permite inserir o login do usuário e formulários de registro nas páginas do Elementor.
Como a funcionalidade não está configurada corretamente, um invasor pode criar uma nova conta de usuário administrativo no site vulnerável, ou até mesmo fazer logon como um usuário administrativo existente.
A ordem é excluir
Aconselha-se a todos os usuários do plugin The Plus Addons para Elementor a desativar e remover a funcionalidade até que uma correção esteja disponível. Todos os widgets de registro ou login adicionados pelo plug-in devem ser removidos, e o registro em sites vulneráveis desabilitado.
Os pesquisadores também observaram que a versão gratuita do plugin, chamada The Plus Addons para Elementor Lite, não foi afetada pela vulnerabilidade. Portanto, os usuários devem mudar para a versão gratuita, até que o problema seja corrigido.
“Deve-se observar que esta vulnerabilidade pode ainda ser explorada mesmo se você não tiver um login ativo ou página de registro que foi criada com o plugin. Isso significa que qualquer site que execute este plugin é vulnerável”, diz a Wordfence, multinacional que estudou a vulnerabilidade.
Acredita-se que os invasores estão adicionando contas de usuário com nomes de usuário como o endereço de e-mail registrado, com base em como a vulnerabilidade cria contas de usuário. Em alguns casos, crackers estão instalando um plugin malicioso chamado wpstaff. “Recomenda-se fortemente que você verifique se há usuários administrativos ou plug-ins inesperados no seu site”, conclui o Wordfence.
Os pesquisadores criaram uma prova de conceito e contataram os desenvolvedores do plug-in, que já estão trabalhando em um patch para corrigir o problema. Por essa razão, é fundamental fazer verificações constantes sobre os plugins instalados no site. Caso estejam presentes exemplares que não foram instalados por alguém da equipe, o ideal é informar os administradores e remover as funcionalidades indesejadas – além de acionar a equipe de segurança digital o quanto antes.
This post is also available in: Português