Sites que utilizam WordPress precisam excluir esses dois plugins.

Segundo o The Hacker News , dois plugins do WordPress, Malware Scanner e Web Application Firewall da miniOrage, apresentam uma grave falha de segurança, CVE-2024-2172, descoberta por Stiofan, com uma pontuação de severidade de 9,8 no sistema de pontuação de vulnerabilidades de segurança CVSS.

O bug tem um amplo impacto porque, embora o desenvolvedor o tenha removido da loja de aplicativos do WordPress em 7 de março de 2024, ele ainda pode afetar os usuários, visto que o Malware Scanner foi registrado instalado e ativo em até 10.000 sites, enquanto o Web Application Firewall (WAF) está presente em cerca de 300.

A Wordfence afirmou que a vulnerabilidade resultou de uma falha de verificação no código do plugin, permitindo que um atacante não autenticado atualizasse arbitrariamente a senha de qualquer usuário e elevasse seus privilégios para administrador, o que poderia levar à completa invasão do site.

Com direitos administrativos, os hackers podem facilmente baixar plugins adicionais, arquivos zip maliciosos contendo backdoors e modificar postagens de sites para redirecionar os usuários para outros sites maliciosos.

Anteriormente, um plugin similar, o RegistrationMagic, foi relatado com o código de bug CVE-2024-1991 e pontuação CVSS 8.8, que também representa uma vulnerabilidade de escalonamento de privilégios de alta gravidade. Este plugin também foi baixado e instalado mais de 10.000 vezes.

O WordPress é um famoso sistema de gerenciamento de conteúdo (CMS) de código aberto, amplamente utilizado no mundo todo . A facilidade de instalação, publicação e gerenciamento de conteúdo nessa plataforma CMS torna o WordPress ideal para todos os tipos de sites, como lojas virtuais, portais, fóruns de discussão, etc. Segundo a w3techs , essa plataforma CMS é atualmente escolhida por 43,1% dos sites do mundo.