De acordo com o The Hacker New , dois plugins do WordPress, Malware Scanner e Web Application Firewall da miniOrage, estão enfrentando uma falha de segurança grave, CVE-2024-2172, descoberta pela Stiofan, com uma pontuação de gravidade de 9,8 no sistema de pontuação de vulnerabilidade de segurança CVSS.
O bug tem um grande impacto porque, embora o desenvolvedor o tenha removido da loja de aplicativos do WordPress em 7 de março de 2024, ele ainda pode ter um impacto porque o Malware Scanner foi registrado como instalado e ativo em até 10.000 sites, enquanto com o Web Application Firewall é 300.
A Wordfence disse que a vulnerabilidade era resultado de uma verificação ausente no código do plugin, permitindo que um invasor não autenticado atualizasse arbitrariamente a senha de qualquer usuário e transferisse privilégios para o administrador, o que poderia levar a um comprometimento completo do site.
Como a plataforma CMS mais popular, o WordPress é um alvo para hackers.
Com direitos administrativos, os hackers podem facilmente baixar plugins adicionais, arquivos zip maliciosos contendo backdoors e modificar postagens de sites para redirecionar usuários para outros sites maliciosos.
Anteriormente, um plugin semelhante, RegistrationMagic, foi relatado com o código de bug CVE-2024-1991 e pontuação CVSS de 8,8, o que também representa uma vulnerabilidade de escalonamento de privilégios de alta gravidade. Este plugin também foi baixado e instalado mais de 10.000 vezes.
O WordPress é um famoso sistema de gerenciamento de conteúdo (CMS) de código aberto, amplamente utilizado no mundo . A facilidade de instalação, publicação e gerenciamento de conteúdo nesta plataforma CMS torna o WordPress uma plataforma ideal para todos os tipos de sites, como lojas online, portais, fóruns de discussão... De acordo com a w3techs , esta plataforma CMS é atualmente escolhida por 43,1% dos sites no mundo.
[anúncio_2]
Link da fonte
Comentário (0)