Foi divulgada uma falha de segurança de severidade máxima no plugin de doações e arrecadação de fundos GiveWP para WordPress, que expõe mais de 100.000 sites a ataques de execução de código remoto.
A falha, identificada como
CVE-2024-5932
(pontuação CVSS: 10.0), afeta todas as versões do plugin anteriores à versão 3.14.2, que foi lançada em 7 de agosto de 2024.
Um pesquisador de segurança, que usa o alias online villu164, foi creditado pela descoberta e relato do problema.
O plugin é "vulnerável à Injeção de Objeto PHP em todas as versões até, e incluindo, 3.14.1 através da desserialização de input não confiável do parâmetro 'give_title'", disse a Wordfence em um relatório esta semana.
Isso possibilita que atacantes não autenticados injetem um Objeto PHP.
A presença adicional de uma cadeia POP permite que atacantes executem código remotamente e deletem arquivos arbitrários.
A vulnerabilidade está enraizada em uma função chamada "give_process_donation_form()", que é usada para validar e limpar os dados do formulário inserido, antes de passar as informações da doação, incluindo os detalhes do pagamento, para o gateway especificado.
A exploração bem-sucedida da falha poderia permitir a um ator de ameaças autenticado executar código malicioso no servidor, tornando imperativo que os usuários atualizem suas instâncias para a versão mais recente.
A divulgação ocorre dias após a Wordfence também detalhar outra falha crítica de segurança nos plugins do WordPress InPost PL e InPost para WooCommerce (
CVE-2024-6500
, pontuação CVSS: 10.0) que possibilita a atacantes não autenticados ler e deletar arquivos arbitrários, incluindo o arquivo wp-config.php.
Em sistemas Linux, apenas arquivos dentro do diretório de instalação do WordPress podem ser deletados, mas todos os arquivos podem ser lidos.
A questão foi corrigida na versão 1.4.5.
Outra deficiência crítica no JS Help Desk, um plugin do WordPress com mais de 5.000 instalações ativas, também foi descoberta (
CVE-2024-7094
, pontuação CVSS: 9.8) como possibilitadora da execução de código remoto devido a uma falha de injeção de código PHP.
Um patch para a vulnerabilidade foi lançado na versão 2.8.7.
Algumas outras falhas de segurança resolvidas em vários plugins do WordPress estão listadas abaixo -
CVE-2024-6220
(pontuação CVSS: 9.8) - Uma falha de upload de arquivo arbitrário no plugin 简数采集器 (Keydatas) que permite a atacantes não autenticados carregar arquivos arbitrários no servidor do site afetado, resultando em execução de código
CVE-2024-6467
(pontuação CVSS: 8.8) - Uma falha de leitura de arquivo arbitrário no plugin de agendamento de compromissos BookingPress que permite a atacantes autenticados, com acesso de nível de Assinante ou superior, criar arquivos arbitrários e executar código arbitrário ou acessar informações sensíveis
CVE-2024-5441
(pontuação CVSS: 8.8) - Uma falha de upload de arquivo arbitrário no plugin Modern Events Calendar que permite a atacantes autenticados, com acesso de Assinante ou superior, carregar arquivos arbitrários no servidor do site afetado e executar código
CVE-2024-6411
(pontuação CVSS: 8.8) - Uma falha de escalonamento de privilégio no plugin ProfileGrid – Perfis de Usuários, Grupos e Comunidades que permite a atacantes autenticados, com acesso de nível de Assinante ou superior, atualizar suas capacidades de usuário para as de um Administrador
Contra estas vulnerabilidades, aplicar patches é uma linha crucial de defesa contra ataques que as exploram para entregar skimmers de cartão de crédito capazes de coletar informações financeiras inseridas pelos visitantes do site.
Na semana passada, a Sucuri destacou uma campanha de skimmer que injeta em sites de comércio eletrônico PrestaShop JavaScript malicioso que usa uma conexão WebSocket para roubar detalhes de cartão de crédito.
A empresa de segurança de sites, de propriedade da GoDaddy, também alertou os proprietários de sites WordPress contra a instalação de plugins e temas nulled, afirmando que eles podem atuar como vetores para malwares e outras atividades nefastas.
"No final das contas, manter-se com plugins e temas legítimos é uma parte fundamental da gestão responsável de sites e a segurança nunca deve ser comprometida em prol de um atalho", disse a Sucuri.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...