Sites que usam WordPress precisam excluir esses 2 plugins

De acordo com o The Hacker New , dois plugins do WordPress, Malware Scanner e Web Application Firewall da miniOrage, são vulneráveis ​​a uma falha de segurança grave, CVE-2024-2172, descoberta pela Stiofan, com uma pontuação de gravidade de 9,8 em uma escala de 10 pontos do sistema de pontuação de vulnerabilidades de segurança CVSS.

O bug tem um grande impacto porque, embora o desenvolvedor o tenha removido da loja de aplicativos do WordPress em 7 de março de 2024, ele ainda pode ter um impacto porque o Malware Scanner foi registrado como instalado e ativo em até 10.000 sites, enquanto com o Web Application Firewall é 300.

A Wordfence disse que a vulnerabilidade era resultado de uma verificação ausente no código do plugin, permitindo que um invasor não autenticado atualizasse arbitrariamente a senha de qualquer usuário e transferisse privilégios ao administrador, o que poderia levar a um comprometimento completo do site.

Com direitos administrativos, os hackers podem facilmente baixar plugins adicionais, arquivos zip maliciosos contendo backdoors e modificar postagens de sites para redirecionar usuários para outros sites maliciosos.

Anteriormente, um plugin semelhante, RegistrationMagic, foi relatado com o código de bug CVE-2024-1991 e pontuação CVSS de 8,8, o que também representa uma vulnerabilidade de escalonamento de privilégios de alta gravidade. Este plugin também foi baixado e instalado mais de 10.000 vezes.

O WordPress é um famoso sistema de gerenciamento de conteúdo (CMS) de código aberto, amplamente utilizado no mundo . A facilidade de instalação, publicação e gerenciamento de conteúdo nesta plataforma CMS torna o WordPress uma plataforma ideal para todos os tipos de sites, como lojas online, portais, fóruns de discussão... De acordo com a w3techs , esta plataforma CMS é atualmente escolhida por 43,1% dos sites no mundo.