Vulnerabilidade crítica em plugin de WordPress pode afetar milhares de sites

Uma falha grave de segurança foi descoberta no plugin MailPoet Newsletters para WordPress. Através da vulnerabilidade, um atacante poderia assumir controle total do site e publicar arquivos maliciosos sem o conhecimento do proprietário.

O MailPoet Newsletters é uma solução para criação e envio de newsletters e já foi baixado 1,7 milhão de vezes no site oficial da plataforma. A falha foi descoberta pela empresa de segurança Sucuri e foi corrigida pela versão 2.6.7 do plugin, lançada nesta terça-feira.

De acordo com Daniel Cid, CEO da Sucuri, “este bug deve ser levado a sério; ele oferece ao potencial intruso o poder de fazer qualquer coisa que quiser com o site de sua vítima. Ele permite que qualquer arquivo PHP seja enviado para o servidor e assim o atacante pode usar o site afetado como isca de phishing, para enviar SPAM, hospedar malware, infectar outros clientes em um servidor compartilhado e mais”.

A vulnerabilidade foi removida pelo criador do plugin e a recomendação é que os usuários do MailPoet Newsletters atualizem suas versões imediatamente para a 2.6.7. A falha confiava na função admin_init() para liberar o uso de upload para os usuários, mas a permissão também era disparada em páginas que não pertenciam ao administrador. Para Daniel Cid, “se você é um desenvolvedor, nunca use admin_init() ou  is_admin() como método de autenticação”.

Ainda não se sabe exatamente o número de websites afetados pela falha de segurança.

Queremos saber sua opinião