Uma falha de segurança de gravidade máxima foi divulgada no plugin de doação e arrecadação de fundos GiveWP do WordPress que expõe mais de 100.000 websites a ataques de execução remota de código.
A falha, rastreada como CVE-2024-5932 (pontuação CVSS: 10,0), afeta todas as versões do plugin anteriores à versão 3.14.2, lançada em 7 de agosto de 2024. Um pesquisador de segurança, conhecido pelo pseudônimo on-line villu164, foi creditado por descobrir e relatar o problema.
O plugin é “vulnerável à injeção de objetos PHP em todas as versões até, e incluindo, 3.14.1 por meio da desserialização de entrada não confiável do parâmetro 'give_title'”, disse o Wordfence em um relatório esta semana.
“Isso torna possível que invasores não autenticados injetem um Objeto PHP. A presença adicional de uma cadeia POP permite que invasores executem código remotamente e excluam arquivos arbitrários.”
A vulnerabilidade está enraizada em uma função chamada “give_process_donation_form()”, que é usada para validar e higienizar os dados do formulário inseridos, antes de passar as informações de doação, incluindo os detalhes de pagamento, para o gateway especificado.
A exploração bem-sucedida da falha pode permitir que um agente de ameaça autenticado execute código malicioso no servidor, tornando imperativo que os usuários tomem medidas para atualizar suas instâncias para a versão mais recente.
A divulgação ocorre dias após o Wordfence também detalhar outra falha crítica de segurança nos plug-ins InPost PL e InPost para WooCommerce WordPress (CVE-2024-6500, pontuação CVSS: 10,0) que possibilita que agentes de ameaças não autenticados leiam e excluam arquivos arbitrários, incluindo o arquivo wp-config.php.
Em sistemas Linux, apenas arquivos dentro do diretório de instalação do WordPress podem ser excluídos, mas todos os arquivos podem ser lidos. O problema foi corrigido na versão 1.4.5.
Outra falha crítica no JS Assist Desk, um plugin do WordPress com mais de 5.000 instalações ativas, também foi descoberta (CVE-2024-7094, pontuação CVSS: 9,8) como habilitação de execução remota de código devido a uma falha de injeção de código PHP. Um patch para a vulnerabilidade foi lançado na versão 2.8.7.
Algumas das outras falhas de segurança resolvidas em vários plugins do WordPress estão listadas abaixo –
- CVE-2024-6220 (pontuação CVSS: 9,8) – Uma falha de add de arquivo arbitrário no plug-in 简数采集器 (Keydatas) que permite que invasores não autenticados carreguem arquivos arbitrários no servidor do web site afetado, resultando em execução de código
- CVE-2024-6467 (pontuação CVSS: 8,8) – Uma falha de leitura de arquivo arbitrário no plug-in de reserva de compromissos BookingPress que permite que invasores autenticados, com acesso de nível de assinante e superior, criem arquivos arbitrários e executem código arbitrário ou acessem informações confidenciais
- CVE-2024-5441 (pontuação CVSS: 8,8) – Uma falha de add de arquivo arbitrário no plug-in Fashionable Occasions Calendar que permite que invasores autenticados, com acesso de assinante e superior, carreguem arquivos arbitrários no servidor do web site afetado e executem código
- CVE-2024-6411 (pontuação CVSS: 8,8) – Uma falha de escalonamento de privilégios no plugin ProfileGrid – Perfis de usuário, grupos e comunidades que permite que invasores autenticados, com acesso de nível de assinante e superior, atualizem seus recursos de usuário para os de um administrador
A correção dessas vulnerabilidades é uma linha de defesa essential contra ataques que as exploram para fornecer skimmers de cartão de crédito capazes de coletar informações financeiras inseridas pelos visitantes do web site.
Na semana passada, a Sucuri revelou uma campanha de skimmer que injeta JavaScript malicioso em websites de comércio eletrônico PrestaShop, que utiliza uma conexão WebSocket para roubar detalhes de cartão de crédito.
A empresa de segurança de websites de propriedade da GoDaddy também alertou os proprietários de websites WordPress contra a instalação de plugins e temas anulados, afirmando que eles podem atuar como vetores de malware e outras atividades nefastas.
“No ultimate das contas, usar plugins e temas legítimos é uma parte basic do gerenciamento responsável de websites, e a segurança nunca deve ser comprometida em prol de um atalho”, disse Sucuri.
