Foi divulgada uma falha de segurança crítica em um plugin popular do WordPress chamado Ultimate Member, que possui mais de 200.000 instalações ativas.
A vulnerabilidade, rastreada como CVE-2024-1071, tem uma pontuação CVSS de 9,8 em um máximo de 10.
O pesquisador de segurança Christiaan Swiers foi creditado por descobrir e relatar a falha.
Em um aviso publicado na semana passada, a empresa de segurança do WordPress, Wordfence, disse que o plugin está "vulnerável a injeção SQL por meio do parâmetro de 'classificação' nas versões 2.1.3 a 2.8.2 devido à insuficiência na preparação da consulta SQL existente."
Como resultado, atacantes não autenticados podem se aproveitar da falha para anexar consultas SQL adicionais a consultas já existentes e extrair dados sensíveis do banco de dados.
Vale ressaltar que o problema afeta apenas usuários que marcaram a opção "Ativar tabela personalizada para metadados do usuário" na configuração do plugin.
Após a divulgação responsável em 30 de janeiro de 2024, uma correção para a falha foi disponibilizada pelos desenvolvedores do plugin com o lançamento da versão 2.8.3 em 19 de fevereiro.
Os usuários são aconselhados a atualizar o plugin para a versão mais recente o mais rápido possível para mitigar possíveis ameaças, especialmente à luz do fato de que a Wordfence já bloqueou um ataque tentando explorar a falha nas últimas 24 horas.
Em julho de 2023, outra falha no mesmo plugin (
CVE-2023-3460
, pontuação CVSS: 9,8) foi explorada ativamente por atacantes para criar administradores fraudulentos e obter controle de sites vulneráveis.
O desenvolvimento surge em meio a um aumento em uma nova campanha que aproveita os sites WordPress comprometidos para injetar drenadores de criptomoedas como o Angel Drainer diretamente ou redirecionar visitantes do site para sites de phishing do Web3 que contêm drenadores.
"Esses ataques aproveitam táticas de phishing e injeções malignas para explorar a dependência do ecossistema Web3 em interações diretas com carteiras, apresentando um risco significativo tanto para os proprietários de sites quanto para a segurança dos ativos dos usuários", disse o pesquisador da Sucuri, Denis Sinegubko.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...