Vulnerabilidades críticas em plugins do WordPress afetam milhares de sites
Pesquisadores descobriram duas vulnerabilidades críticas de autenticação em plugins do WordPress, que possuem de milhares de instalações. A primeira vulnerabilidade de segurança, identificada como CVE-2023-2986, afeta o plugin Abandoned Cart Lite para WooCommerce, que possui mais de 30.000 instalações ativas. Este plugin notifica clientes que não concluíram o processo de compra, fornecendo um link que os autentica automaticamente para continuar a compra.
Um ataque bem-sucedido pode permitir que um invasor acesse contas de administrador que estejam testando a funcionalidade de carrinho abandonado, o que pode levar ao comprometimento total do site. A segunda vulnerabilidade, identificada como CVE-2023-2834, afeta o plugin BookIt, que tem mais de 10.000 instalações ativas.
O plugin permite que os usuários marquem compromissos, fornecendo seu nome, endereço de e-mail e senha. Devido à falta de verificações adequadas na entrada de dados fornecida pelo usuário ao marcar compromissos, um invasor não autenticado pode fazer login como qualquer usuário existente se souber o endereço de e-mail do usuário. As empresas que utilizam esses plugins em seus sites WordPress devem tomar medidas imediatas para garantir que estejam usando as versões mais recentes dos plugins, que contêm as correções para essas vulnerabilidades críticas.
Fonte: BoletimSec
Publicado em: Cybersegurança