Vulnerabilidades em Plugins ameaçam sites WordPress
Foram identificadas várias vulnerabilidades no popular tema Avada e no plugin Avada Builder, amplamente utilizados. Essas falhas de segurança, descobertas pelo pesquisador de segurança da Patchstack, Rafie Muhammad, expõem um número significativo de sites WordPress a possíveis violações. Dentro dessas vulnerabilidades, o plugin Avada Builder apresenta duas fraquezas.
A primeira é uma Injeção SQL Autenticada (CVE-2023-39309). Explorando essa vulnerabilidade, invasores com acesso autenticado podem violar dados sensíveis e potencialmente executar código remoto. A segunda é uma vulnerabilidade de Cross-Site Scripting Refletido (CVE-2023-39306), permitindo que invasores não autenticados roubem informações sensíveis e potencialmente aumentem seus privilégios nos sites WordPress afetados.
A Patchstack também descobriu uma vulnerabilidade no tema Avada. A falha de Upload de Arquivo Arbitrário por Colaborador (CVE-2023-39307). Nesse cenário, os Colaboradores ganham a capacidade de fazer upload de arquivos arbitrários, o que pode incluir arquivos PHP prejudiciais, permitindo a execução de código remoto e comprometendo a integridade do site.
Fonte: BoletimSec
Publicado em: Cybersegurança