Administradores do WordPress são instados a remover plugins miniOrange devido a falha crítica
18 de Março de 2024

Os usuários do WordPress que utilizam os plugins Malware Scanner e Web Application Firewall da miniOrange estão sendo instados a excluí-los de seus sites após a descoberta de uma falha crítica de segurança.

A falha, identificada como CVE-2024-2172 , é classificada como 9.8 em um máximo de 10 no sistema de pontuação CVSS.

Ela afeta as seguintes versões dos dois plugins -

Malware Scanner (versões <= 4.7.2)
Web Application Firewall (versões <= 2.1.1)

Vale notar que os plugins foram permanentemente encerrados por seus mantenedores a partir de 7 de março de 2024.

Enquanto Malware Scanner tem mais de 10.000 instalações ativas, Web Application Firewall tem mais de 300 instalações ativas.

"Essa vulnerabilidade possibilita que um invasor não autenticado conceda a si mesmo privilégios administrativos ao atualizar a senha do usuário", relatou a Wordfence na semana passada.

O problema é o resultado de uma verificação de capacidade ausente na função mo_wpns_init() que permite a um invasor não autenticado atualizar arbitrariamente a senha de qualquer usuário e elevar seus privilégios ao de um administrador, potencialmente levando a uma completa comprometimento do site.

"Uma vez que um invasor tenha obtido acesso de usuário administrativo a um site do WordPress, eles podem então manipular qualquer coisa no site alvo como um administrador normal faria", disse a Wordfence.

"Isso inclui a capacidade de carregar arquivos de plugins e temas, que podem ser arquivos zip maliciosos contendo backdoors, e modificar postagens e páginas que podem ser usadas para redirecionar os usuários do site para outros sites maliciosos ou injetar conteúdo spam."

Este desenvolvimento surge quando a empresa de segurança WordPress alertou sobre uma falha similar de alta gravidade na escalada de privilégios no plugin RegistrationMagic (CVE-2024-1991, pontuação CVSS: 8.8) afetando todas as versões, incluindo e anteriores à 5.3.0.0.

O problema, resolvido em 11 de março de 2024, com o lançamento da versão 5.3.1.0, permite a um invasor autenticado conceder a si mesmo privilégios administrativos atualizando a função do usuário.

O plugin tem mais de 10.000 instalações ativas.

"Essa vulnerabilidade permite que atores de ameaças autenticados com permissões de nível de assinante ou superior elevem seus privilégios ao de um administrador do site, o que poderia levar ao comprometimento total do site", disse István Márton.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...