Uma vulnerabilidade crítica de segurança foi descoberta no plugin de doação e arrecadação de fundos GiveWP para WordPress, afetando potencialmente mais de 100.000 sites e expondo-os a ataques de execução remota de código.
Esta falha, identificada como CVE-2024-5932 (pontuação CVSS: 10,0), afeta todas as versões do plugin anteriores à 3.14.2, que foi lançada em 7 de agosto de 2024. O pesquisador de segurança “villu164” é creditado por descobrir e relatar a vulnerabilidade.
De acordo com um relatório do Wordfence, a vulnerabilidade surge de um problema de injeção de objeto PHP presente em todas as versões até 3.14.1 devido à desserialização de entrada não confiável do parâmetro ‘give_title’.
“Essa falha permite que invasores não autenticados injetem um objeto PHP. Quando combinado com uma cadeia POP, pode levar à execução remota de código e permitir que invasores excluam arquivos arbitrários”, explicou Wordfence.
O problema se origina na função “give_process_donation_form()”, que valida e higieniza os dados do formulário antes de passar os detalhes de doação e pagamento para o gateway selecionado.
Explorar essafalha pode permitir que um invasor autenticado execute código malicioso no servidor, tornando essencial que os usuários atualizem seu plugin para a versão mais recente.
Esta divulgação vem logo após o Wordfence também destacar outra falha grave no InPost PL e no InPost para plugins WooCommerce WordPress (CVE-2024-6500, pontuação CVSS: 10,0). Esta falha permite que invasores não autenticados leiam e excluam arquivos arbitrários, incluindo o arquivo wp-config.php.
Em sistemas Linux, apenas arquivos dentro do diretório de instalação do WordPress são vulneráveis à exclusão, mas todos os arquivos podem ser lidos. Uma correção foi emitida na versão 1.4.5.
Além disso, outra vulnerabilidade significativa (CVE-2024-7094, pontuação CVSS: 9,8) foi descoberta no plugin JS Help Desk, afetando mais de 5.000 instalações ativas. O problema, causado pela injeção de código PHP, permite a execução remota de código. Um patch para essa vulnerabilidade foi lançado na versão 2.8.7.
Outras falhas críticas de segurança corrigidas em vários plugins do WordPress incluem:
- CVE-2024-6220 (pontuação CVSS: 9,8): Uma vulnerabilidade de upload de arquivo arbitrário no plugin Keydatas, permitindo que invasores não autenticados carreguem arquivos e executem código.
- CVE-2024-6467 (pontuação CVSS: 8,8): Uma falha de leitura de arquivo arbitrário no plugin BookingPress, permitindo que usuários autenticados criem e executem arquivos arbitrários ou acessem dados confidenciais.
- CVE-2024-5441 (pontuação CVSS: 8,8): Uma vulnerabilidade de upload de arquivo arbitrário no plugin Modern Events Calendar, permitindo que invasores autenticados carreguem e executem código.
- CVE-2024-6411 (CVSS pontuação: 8,8): Uma falha de escalonamento de privilégios no plugin ProfileGrid, permitindo que usuários autenticados escalem seus privilégios para Administrador.
A correção oportuna dessas vulnerabilidades é essencial para se defender contra ataques que exploram essas falhas para implantar skimmers de cartão de crédito e roubar informações financeiras confidenciais de visitantes do site.
Na semana passada, a Sucuri descobriu uma campanha de skimming direcionada a sites de comércio eletrônico PrestaShop, onde JavaScript malicioso é injetado para explorar conexões WebSocket e roubar informações de cartão de crédito.
A empresa de segurança de sites de propriedade da GoDaddy também alertou os proprietários de sites WordPress contra o uso de plugins e temas anulados, enfatizando que eles podem servir como portas de entrada para malware e outras atividades maliciosas.
“No final das contas, confiar em plugins e temas legítimos é um aspecto fundamental do gerenciamento responsável de sites, e a segurança nunca deve ser comprometida por conveniência”, afirmou Sucuri .
Fonte: TheHackerNews
