Falha num plugin para WordPress permite que hackers assumam controlo do site

Uma falha descoberta num plugin que permite a introdução de botões para redes sociais em sites do WordPress permitia a um hacker tomar posse de sites que o utilizem

Esta semana foi revelada a existência de uma vulnerabilidade num conhecido plugin para WordPress denominado de Simple Social Buttons, o qual permitia a um hacker tomar controlo do site que o tenha instalado.

O Simple Social Buttons é um complemento que permite adicionar botões do Facebook, Twitter, WhatsApp, Linkedin e outras redes sociais em distintas partes de um site para que os utilizadores possam partilhar através dessas mesmas redes o conteúdo publicado. A ferramenta, que regista mais de 40.000 instalações ativas, já conta com uma versão atualizada (2.0.22) que repara a falha, pelo que se recomenda a todos aqueles que tenham instalado o plugin que o atualizem para a última versão, o quanto antes.

bug, descoberto pelo WebARX, afetava as versões que vão desde a 2.0.4 à anterior à 2.0.22, onde foi introduzido o patch de segurança.

De acordo com a descrição que fizeram os especialistas após a descoberta, a falha consiste num erro de fluxo de projeto associado à não revisão de permissões. Consequentemente, o erro permite que um possível invasor aumente privilégios e execute ações para as quais não está autorizado, como seja fazer alterações na configuração principal do site do WordPress. Dessa forma, para fazer alterações, o invasor assume o controlo de um site instalando backdoors.

Num vídeo publicado pelos investigadores que reportaram a falha, é possível ver o perigoso bug ao permitir alterar o e-mail associado à conta de administrador do site.

Ao dia de hoje, a nova versão foi descarregada mais de 500 vezes, e nos últimos 7 dias cerca de 8.435 vezes. Se utiliza este plugin no seu site e não o atualizou, faça-o agora aqui.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

3 × 2 =