Hacker rouba 1,7 milhões de dólares em NFTs através de esquema de phishing no OpenSea
Fevereiro 21, 2022Tarifa social de Internet: NOWO já foi aprovada. As operadoras de telecomunicações já podem disponibilizar ofertas
Fevereiro 21, 2022O WordPress tem sido afetado por vulnerabilidades identificadas em alguns dos seus plugins, que podem colocar em perigo a segurança dos websites construídos pela plataforma. Em janeiro foi identificada uma falha de segurança no plugin Essential Addons for Elementor, um recurso utilizado por mais de um milhão de websites. O problema foi detetado por um investigado da PatchStack, mas já foi corrigido.
Agora foi o plugin UpdraftPlus, utilizado para criar e restaurar os backups dos websites. O problema encontrado, e que já foi corrigido através de uma atualização de segurança de emergência, permitia a todos os utilizadores com uma conta num website fizessem o download de toda a sua base de dados.
O bug foi descoberto pelo investigador de segurança Marc Montpas da Jetpack, durante uma auditoria ao plugin. Em declarações à Ars Technica, o investigador afirmou que o bug era muito fácil de explorar, com resultados desastrosos se fosse utilizado. “Este permitia que utilizadores com privilégios básicos fizessem o download dos backups de um website, incluindo as bases de dados raw.
Os developers do UpdraftPlus foram alertados para o bug, sendo corrigido no dia seguinte, obrigando a todos os websites que usam este plugin a fazerem a atualização de emergência. Ao todo foram atualizados 1,7 milhões de websites, de cerca de 3 milhões de utilizadores.
No blog da Jetpack é explicado que a vulnerabilidade se deveu à incorreta implementação da funcionalidade “hearbeat” do WordPress, que garante a verificação dos privilégios dos utilizadores. Neste caso não verificava se o acesso era feito por administradores do website. Um hacker poderia aceder facilmente à informação dos backups dos websites, através da vulnerabilidade.
Para confirmar que tem a versão segura do plugin UpdraftPlus, os administradores dos websites baseados em WordPress devem verificar se esta foi atualizada para a sua versão 1.22.4 ou mais recente para o formato gratuito, ou a versão 2-22.4 ou superior na aplicação premium.
