Hackers Atacam Plugin Popular do WordPress

Se o seu website WordPress utiliza o plugin Modern Events Calendar, é imperativo que atualize imediatamente para evitar uma vulnerabilidade de alta gravidade que pode resultar na tomada completa do seu site. Investigadores de cibersegurança já confirmaram que hackers estão a explorar esta falha.

A vulnerabilidade foi descoberta pela investigadora de cibersegurança Friderika Baranyai no final de maio de 2024, durante o evento Wordfence Bug Bounty Extravaganza. Esta falha, agora rastreada como CVE-2024-5441, é descrita como um bug de validação de tipo de ficheiro em falta e possui uma pontuação de severidade de 8.8, considerada alta.

Detalhes Técnicos da Falha

De acordo com o grupo de segurança Wordfence, o problema reside na função ‘set_featured_image’ do plugin, que permite aos utilizadores carregar e definir imagens destacadas para eventos. A falha surge porque o plugin não verifica o tipo de ficheiro que está a ser carregado, permitindo que atores maliciosos façam upload de ficheiros .PHP prejudiciais. Qualquer utilizador autenticado, incluindo subscritores e membros registados, pode explorar esta falha para assumir o controlo total do site.

Um relatório do BleepingComputer indica que mais de 150.000 websites WordPress utilizam atualmente o Modern Events Calendar, o que torna a superfície de ataque bastante extensa. Todas as versões do plugin até à 7.11.0 são vulneráveis, e os utilizadores são aconselhados a atualizar para a versão 7.12.0 ou superior. A Wordfence já observou tentativas de exploração da falha, bloqueando mais de 100 ataques até agora.

A Popularidade do WordPress e os Riscos Associados

O WordPress é o construtor de websites mais popular do mundo, alimentando quase metade de todos os sites na internet. Esta popularidade também o torna um alvo frequente para cibercriminosos. Embora o WordPress seja geralmente considerado seguro e difícil de comprometer, a vasta loja online de temas e plugins, que inclui tanto produtos gratuitos como comerciais, pode introduzir vulnerabilidades.

Os produtos comerciais tendem a ser mais seguros, pois têm equipas dedicadas a trabalhar em melhorias e atualizações. No entanto, os produtos gratuitos são muitas vezes projetos de paixão desenvolvidos por indivíduos ou pequenas equipas e podem não ser atualizados regularmente, tornando-se alvos principais para atores maliciosos.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui