Alerta de Plugin WordPress - Vulnerabilidade Crítica SQLi Ameaça Mais de 200K+ Sites
27 de Fevereiro de 2024

Foi divulgada uma falha de segurança crítica em um plugin popular do WordPress chamado Ultimate Member, que possui mais de 200.000 instalações ativas.

A vulnerabilidade, rastreada como CVE-2024-1071, tem uma pontuação CVSS de 9,8 em um máximo de 10.

O pesquisador de segurança Christiaan Swiers foi creditado por descobrir e relatar a falha.

Em um aviso publicado na semana passada, a empresa de segurança do WordPress, Wordfence, disse que o plugin está "vulnerável a injeção SQL por meio do parâmetro de 'classificação' nas versões 2.1.3 a 2.8.2 devido à insuficiência na preparação da consulta SQL existente."

Como resultado, atacantes não autenticados podem se aproveitar da falha para anexar consultas SQL adicionais a consultas já existentes e extrair dados sensíveis do banco de dados.

Vale ressaltar que o problema afeta apenas usuários que marcaram a opção "Ativar tabela personalizada para metadados do usuário" na configuração do plugin.

Após a divulgação responsável em 30 de janeiro de 2024, uma correção para a falha foi disponibilizada pelos desenvolvedores do plugin com o lançamento da versão 2.8.3 em 19 de fevereiro.

Os usuários são aconselhados a atualizar o plugin para a versão mais recente o mais rápido possível para mitigar possíveis ameaças, especialmente à luz do fato de que a Wordfence já bloqueou um ataque tentando explorar a falha nas últimas 24 horas.

Em julho de 2023, outra falha no mesmo plugin ( CVE-2023-3460 , pontuação CVSS: 9,8) foi explorada ativamente por atacantes para criar administradores fraudulentos e obter controle de sites vulneráveis.

O desenvolvimento surge em meio a um aumento em uma nova campanha que aproveita os sites WordPress comprometidos para injetar drenadores de criptomoedas como o Angel Drainer diretamente ou redirecionar visitantes do site para sites de phishing do Web3 que contêm drenadores.

"Esses ataques aproveitam táticas de phishing e injeções malignas para explorar a dependência do ecossistema Web3 em interações diretas com carteiras, apresentando um risco significativo tanto para os proprietários de sites quanto para a segurança dos ativos dos usuários", disse o pesquisador da Sucuri, Denis Sinegubko.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...