fbpx

Seu site WordPress está realmente seguro?

Share on facebook
Share on google
Share on twitter
Share on linkedin

Atenção usuários do WordPress!

Seu site pode ser facilmente hackeado se você estiver usando ” Ultimate Addons for Beaver Builder ” ou ” Ultimate Addons for Elementor ” e não os tiver atualizado recentemente para as versões mais recentes disponíveis.

Os pesquisadores de segurança descobriram uma vulnerabilidade de desvio de autenticação crítica, mas fácil de explorar, em ambos os plug-ins premium do WordPress amplamente usados ​​que podem permitir que invasores remotos obtenham acesso administrativo a sites sem exigir nenhuma senha.

O que é mais preocupante é que os invasores oportunistas já começaram a explorar esta vulnerabilidade em liberdade dentro de 2 dias de sua descoberta para comprometer sites WordPress vulneráveis ​​e instalar um backdoor malicioso para acesso posterior.

Ambos os plug-ins vulneráveis, feitos pela empresa de desenvolvimento de software Brainstorm Force, estão atualmente ativando centenas de milhares de sites WordPress usando estruturas Elementor e Beaver Builder, ajudando administradores de sites e designers a estenderem a funcionalidade de seus sites com mais widgets, módulos, modelos de página.

Descoberta por pesquisadores do serviço de segurança da web MalCare , a vulnerabilidade reside na maneira como os dois plug-ins permitem que os titulares de contas do WordPress, incluindo administradores, se autentiquem através dos mecanismos de login do Facebook e Google.

De acordo com o aviso de vulnerabilidade, devido à falta de verificações no método de autenticação quando um usuário faz login via Facebook ou Google, plug-ins vulneráveis ​​podem ser enganados para permitir que usuários mal-intencionados façam login como qualquer outro usuário-alvo sem exigir nenhuma senha.

“No entanto, os métodos de autenticação do Facebook e Google não verificaram o token retornado pelo Facebook e Google e, como não exigem senha, não houve verificação de senha”, 

Explicaram os pesquisadores da WebARX, que também analisaram a falha e confirmaram seu ativo exploração.
“Para explorar a vulnerabilidade, o hacker precisa usar o ID de e-mail de um usuário administrador do site. Na maioria dos casos, essas informações podem ser recuperadas facilmente”, disse MalCare.
Em um e-mail para o Hacker News, o WebARX confirmou que os invasores estão abusando dessa falha para instalar um falso plugin de estatísticas de SEO após enviar um arquivo tmp.zip no servidor WordPress de destino, que eventualmente deixa um arquivo backdoor wp-xmlrpc.php na raiz diretório do site vulnerável.

O MalCare descobriu esta vulnerabilidade na quarta-feira que afeta as versões listadas abaixo dos plug-ins e a relatou aos desenvolvedores no mesmo dia, que então resolveram o problema rapidamente e lançaram versões corrigidas de ambos em apenas 7 horas.

  • Ultimate Addons para Elementor <= 1.20.0
  • Ultimate Addons para Beaver Builder <= 1.24.0

A vulnerabilidade de desvio de autenticação foi corrigida com o lançamento de “Ultimate Addons for Elementor version 1.20.1 ” e “Ultimate Addons for Beaver Builder version 1.24.1 “, cujos sites afetados são altamente recomendados para instalar o mais rápido possível.

Gostou desse tipo de conteúdo? Nos acompanhe nas redes sociais!

Instagram: @interactivanetworks

Facebook: Interactiva Networks

Twitter: Interactiva Networks

Fonte: The Hacker News

Deixa aqui o seu comentário

Últimas notícias e dicas