- Pesquisadores encontraram duas falhas em um popular plugin do WordPress
- Falhas permitem que agentes de ameaças instalem plug-ins maliciosos e executem códigos arbitrários
- Um patch já está disponível, então os usuários do WordPress devem atualizar agora
Um importante plug-in anti-spam para o principal construtor de sites WordPress carregava um par de vulnerabilidades de gravidade crítica que permitiam que os agentes de ameaças instalassem plug-ins à vontade e até mesmo executassem código arbitrário remotamente.
Os bugs já foram corrigidos e os usuários são aconselhados a implantá-los o mais rápido possível.
O plugin vulnerável é chamado de “Proteção contra spam, anti-spam e firewall” e foi desenvolvido pela CleanTalk, uma empresa que desenvolve proteção contra spam para WordPress, Joomla, Drupal e outros construtores de sites.
Plug-in popular
O plugin apresentava duas falhas: uma rastreada como CVE-2024-10542 e outra rastreada como CVE-2024-10781. O primeiro tem pontuação de gravidade 9,8 – crítico, enquanto o segundo 8,1 – alto.
O primeiro é um bug não autorizado de instalação de plug-in arbitrário, que ocorre devido a um desvio de autorização por meio de falsificação reversa de DNS na função checkWithoutToken. Como resultado, invasores não autenticados instalam e ativam plug-ins arbitrários que, em alguns cenários, podem ser aproveitados para obter execução remota de código.
Este último, por outro lado, é uma instalação arbitrária de plug-in não autorizada que ocorre devido a uma verificação de valor vazio ausente no valor ‘api_key’ na função ‘perform’. Os resultados são os mesmos: alcançar a execução remota de código em determinados cenários (quando outro plugin vulnerável é instalado e ativado).
Proteção contra spam, anti-spam e firewall é um plugin importante do WordPress, instalado em mais de 200.000 sites, até o momento. O bug foi detectado pela primeira vez por um pesquisador com o pseudônimo ‘mikemyers’, que relatou suas descobertas ao WordFence, um projeto que pesquisa vulnerabilidades do WordPress.
WordFence entrou em contato com CleanTalk no final de outubro de 2024, que, alguns dias depois, apresentou um patch. “Gostaríamos de elogiar a equipe CleanTalk por sua resposta imediata e correção oportuna”, disse WordFence.
Os usuários são incentivados a atualizar seus sites com a versão corrigida mais recente, que era 6.45.2 até o momento.