Falhas em um plug-in do WordPress permitem a injeção de código malicioso em sites

Ram Gall, da Defiant, descobriu que falhas em um plug-in do WordPress permitem a injeção de código malicioso em sites. Conheça as falhas e proteja-se!

Desde o final de fevereiro, os hackers estão tentando invadir sites WordPress explorando vulnerabilidades de plug-ins, permitindo que eles plantem backdoors e criem contas de administrador não autorizadas, com centenas de milhares de sites expostos a ataques.

Falhas em um plug-in do WordPress permitem a injeção de código malicioso em sites

O plugin do Popup Builder permite que os proprietários do site criem, implantem e gerenciem pop-ups personalizáveis ​​que contêm uma ampla variedade de conteúdo, desde códigos HTML e JavaScript até imagens e vídeos.

O Sygnoos, desenvolvedor do plugin, o comercializa como uma ferramenta que pode ajudar a aumentar as vendas e a receita por meio de pop-ups inteligentes usados ​​para exibir anúncios, solicitações de assinatura, descontos e vários outros tipos de conteúdo promocional.

Agora, foi descoberto que vulnerabilidades no plug-in do Popup Builder WordPress podem permitir que invasores não autenticados injetem código JavaScript malicioso em pop-ups exibidos em dezenas de milhares de sites, roubem informações e potencialmente dominem sites direcionados.

Falhas em um plug-in do WordPress permitem a injeção de código malicioso em sites

As falhas de segurança descobertas pelo Ram Gall, engenheiro de controle de qualidade da Defiant, afetam todas as versões até o Popup Builder 3.63, inclusive.

Sobre as falhas, Gall disse o seguinte:

“Uma vulnerabilidade permitiu a um invasor não autenticado injetar JavaScript malicioso em qualquer pop-up publicado, que seria executado sempre que o pop-up fosse carregado.”

“Geralmente, os invasores usam uma vulnerabilidade como essa para redirecionar os visitantes do site para sites de malvertising ou roubar informações confidenciais de seus navegadores, embora também possa ser usada para aquisição do site se um administrador visitar ou visualizar uma página que contém o pop-up infectado enquanto estiver conectado.”

O outro bug tornou possível para qualquer usuário logado (com permissões tão baixas quanto um assinante) obter acesso aos recursos do plug-in, exportar listas de assinantes de boletins informativos e exportar informações de configuração do sistema com uma simples solicitação POST para post.php.

As falhas rastreadas como CVE-2020-10196 e CVE-2020-10195 permitem XSS armazenado não autenticado, divulgação de configuração, exportação de dados do usuário e modificação de configurações do site.

A Sygnoos corrigiu os problemas de segurança com o lançamento do Popup Builder versão 3.64.1, uma semana após a Defiant reportar os bugs.

Desde que a versão corrigida do Popup Builder foi publicada, pouco mais de 33.000 usuários atualizaram o plug-in, que ainda deixa mais de 66.000 sites com a instalação ativa exposta a ataques.

Ram Gall acrescentou que:

“Embora não tenhamos detectado nenhuma atividade maliciosa direcionada ao Popup Builder, a vulnerabilidade XSS armazenada pode ter um sério impacto nos visitantes do site e potencialmente permitir a aquisição do site.”

O que está sendo falado no blog

Post Views: 280

Sair da versão mobile