Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

14 de agosto de 2023

Vulnerabilidades em Plugins ameaçam sites WordPress

Compartilhe

Foram identificadas várias vulnerabilidades no popular tema Avada e no plugin Avada Builder, amplamente utilizados. Essas falhas de segurança, descobertas pelo pesquisador de segurança da Patchstack, Rafie Muhammad, expõem um número significativo de sites WordPress a possíveis violações. Dentro dessas vulnerabilidades, o plugin Avada Builder apresenta duas fraquezas.

A primeira é uma Injeção SQL Autenticada (CVE-2023-39309). Explorando essa vulnerabilidade, invasores com acesso autenticado podem violar dados sensíveis e potencialmente executar código remoto. A segunda é uma vulnerabilidade de Cross-Site Scripting Refletido (CVE-2023-39306), permitindo que invasores não autenticados roubem informações sensíveis e potencialmente aumentem seus privilégios nos sites WordPress afetados.

A Patchstack também descobriu uma vulnerabilidade no tema Avada. A falha de Upload de Arquivo Arbitrário por Colaborador (CVE-2023-39307). Nesse cenário, os Colaboradores ganham a capacidade de fazer upload de arquivos arbitrários, o que pode incluir arquivos PHP prejudiciais, permitindo a execução de código remoto e comprometendo a integridade do site.

Fonte: BoletimSec

Publicado em: