Falha de segurança permite acesso administrativo não autorizado em plugins do WordPress
Administradores do WordPress estão enfrentando uma urgência: remover os plugins Malware Scanner e Web Application Firewall da miniOrange de seus sites. Essa ação se deve à descoberta de uma falha de segurança considerada crítica, identificada como CVE-2024-2172. Essa vulnerabilidade recebeu uma pontuação elevada de 9,8 em 10 no sistema de pontuação CVSS.
Plugins permanentemente fechados
É crucial destacar que os desenvolvedores dos plugins optaram por encerrá-los permanentemente em 7 de março de 2024. Apesar dessa medida, os danos potenciais são significativos, especialmente considerando o número de instalações ativas. O Malware Scanner, por exemplo, é utilizado em mais de 10.000 sites, enquanto o Web Application Firewall está presente em mais de 300.
Brecha na segurança
De acordo com relatórios da Wordfence na semana passada, a falha permite que invasores sem autenticação obtenham privilégios administrativos. O método de exploração envolve a capacidade de um atacante alterar a senha de um usuário, concedendo assim acesso privilegiado ao site.
Outra preocupação com a segurança
Essa descoberta surge em um momento preocupante, já que a empresa de segurança do WordPress também emitiu um alerta sobre outra vulnerabilidade. Desta vez, trata-se de uma falha de escalonamento de privilégios de alta gravidade no plugin RegistrationMagic, rastreada como CVE-2024-1991, com uma pontuação CVSS de 8,8.
Ação imediata necessária
Dada a seriedade dessas ameaças, é fundamental que os administradores do WordPress ajam prontamente. Remover os plugins afetados e atualizar para versões seguras é uma prioridade para mitigar os riscos de exploração por parte de invasores mal-intencionados. O rápido reconhecimento e resposta a essas vulnerabilidades são essenciais para garantir a segurança contínua dos sites WordPress.
Fonte: BoletimSec
Saiba como Seguro Cyber pode ajudar na proteção contra ataques cibernéticos:
