Tema TwentyFifteen não precisa estar ativado para que a falha seja explorada.

Tema TwentyFifteen não precisa estar ativado para que a falha seja explorada.

Pesquisadores da Netsparker recentemente descobriram uma vulnerabilidade que afeta um plugin e um tema que vem por padrão em todas as instalações do WordPress e que pode ser explorado por hackers para controlar sites baseados nesse pacote.

Qualquer plugin ou tema do WordPress que contenha o pacote genericons está vulnerável o Cross-Site Scripting (XSS) devido a um arquivo inseguro pertencente a este pacote. Somente os pacotes que proativamente removeram o arquivo vulnerável estão seguros.

Até agora, o plugin JetPack (declarado ter mais de 1 millhão de instalações) e o tema TwentyFifteen (tema padrão de 2015) estão vulneráveis.

Por esse motivo, milhões de site na internet estão vulneráveis. O tema “TwentyFifteen” e o JetPack não precisam estar ativados. Basta que ele esteja presente na instalação do WordPress e que a vítima — o administrador do site — clique no link malicioso enquanto está logada no painel do WordPress.

Difícil disseminação

Apesar de a falha poder ter um impacto massivo, ela não parece ser tão severa uma vez que os usuários mal-intencionados precisariam convencer um administrador a clicar em um determinado link malicioso enquanto ele estivesse logado para tirar proveito de seus altos privilégios. Os pesquisadores também notificaram alguns sites de hospedagens web sobre a falha e estes tomaram algumas providências para tornar seus ambientes mais robustos.

Mesmo assim, de acordo com a empresa de segurança Succuri, já existem ataques circulando pela web. Esses ataques começaram ainda antes de a vulnerabilidade ter sido revelada publicamente, o que significa que os atacantes já sabiam do problema.

Facilidade na remoção

Uma boa notícia sobre a vulnerabilidade seria o fato de que o problema é facilmente reparado como recomenda a empresa de segurança: basta remover o arquivo genericons/example.html.

O WordPress também soltou uma atualização de segurança crítica (4.2.2) que elimina a falha. “Para ajudar a proteger o uso de outros Genericons, o WordPress 4.2.2 proativamente examina o diretório wp-content em busca deste arquivo HTML e o remove”, anunciou Samuel Sidler em uma nota de Segurança e Manutenção no site wordpress.org.

Anúncios

Escrito por Adan Ribeiro

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s