- Pesquisadores do Patchstack encontram duas novas falhas no Fancy Product Designer
- O plugin WordPress criado por Radykal tem mais de 20.000 usuários ativos
- As falhas permitiam execução remota de código, upload arbitrário de arquivos e muito mais
Um popular plugin do WordPress foi encontrado carregando duas vulnerabilidades críticas que permitem que os agentes de ameaças carreguem arquivos, adulterem bancos de dados e, essencialmente, assumam o controle de sites comprometidos.
Para piorar a situação, as vulnerabilidades permaneceram no código por mais de meio ano, apesar dos desenvolvedores terem sido notificados e, entretanto, trabalharem ativamente em novas versões.
Pesquisadores de segurança cibernética da Patchstack afirmam que no final de março de 2024 descobriram duas vulnerabilidades no Fancy Product Designer, um plug-in premium de construção de sites desenvolvido pela Radykal, que permite aos usuários criar e personalizar produtos, como camisetas, canecas ou pôsteres, com vários ferramentas de design e opções para lojas de comércio eletrônico. Possui mais de 20.000 vendas.
Silêncio dos vendedores
As vulnerabilidades são rastreadas como CVE-2024-51919 (pontuação de gravidade 9,0) e CVE-2024-51818. A primeira é uma vulnerabilidade de upload de arquivo arbitrário não autenticado, enquanto a última é uma falha de injeção de SQL não autenticada. Como o primeiro permite a execução remota de código (RCE), pode levar ao controle total do site em alguns cenários.
Patchstack afirma ter notificado o fornecedor sobre os problemas no final de março, mas nunca recebeu resposta da empresa. Enquanto isso, Radykal estava trabalhando em novas versões do plugin e lançou 20 delas. O mais recente foi lançado há dois meses (6.4.3) e ainda apresenta falhas críticas de segurança.
Para alertar os usuários sobre os riscos e chamar a atenção para o problema, o Patchstack adicionou os bugs ao seu banco de dados e publicou um blog detalhado, com informações técnicas encontradas suficientes para construir uma exploração e direcionar sites usando o Fancy Product Designer.
Para evitar que isso aconteça, os administradores da web devem criar uma lista de permissões de extensões de arquivo permitidas e, assim, impedir que os agentes da ameaça carreguem o que quiserem. Patchstack acrescentou que os usuários também devem limpar a entrada do usuário para uma consulta para se defender contra ataques de injeção de SQL.
Através BipandoComputador