Plug -in de raspador do WordPress comprometido pela vulnerabilidade de segurança
Descobriu -se um plug -in do WordPress que publica automaticamente o conteúdo raspado de outros sites para conter uma vulnerabilidade crítica que permite que qualquer pessoa envie arquivos maliciosos em sites afetados. A gravidade da vulnerabilidade é classificada em 9,8 em uma escala de 1-10.
Plugin de gerador de raspador multisite rastreado para WordPress
O plug -in Rastrenomatic WordPress é vendido pela loja Envato Codecanyon por US $ 59 por licença. Ele permite que os usuários rastejam fóruns, estatísticas meteorológicas, artigos de feeds RSS e raspar diretamente o conteúdo de outros sites e publique automaticamente o conteúdo no site do usuário.
A página da web Envato Codecanyon do plugin apresenta um banner que observa que o autor do plug -in foi reconhecido por ter atendido a “padrões de qualidade do WordPress” e exibe um crachá indicando que é “Envato WP Compatiante”, uma indicação de que atende aos “padrões de segurança, qualidade, desempenho, desempenho e codificação de Envato em padrões de WordPress e plugins e temas”.
A página de diretório do plug-in explica que ele pode rastejar e raspar praticamente qualquer site, incluindo sites baseados em JavaScript, prometendo que pode transformar o site de um usuário em uma “máquina de fazer dinheiro”.
Upload de arquivo arbitrário não autenticado
O plug -in RAWLOMATIC WordPress está faltando uma verificação de validação do FileType em todas as versões anteriores e incluindo a versão 2.6.8.1.
De acordo com um aviso publicado no Wordfence:
“O plug -in Pós -gerador de raspas de vários rastreadores para o WordPress é vulnerável a uploads de arquivo arbitrários devido à falta de validação do tipo de arquivo na função Crawlomatic_Generate_Featured_Image () em todos os versões até que o SERVERTO ATBITATRÁRIO.
Os usuários do plug -in são recomendados pelo WordFence para atualizar para pelo menos a versão 2.6.8.2.
Leia mais no Wordfence:
Gerador de pós -rastreamento rastreado de múltiplas
Imagem em destaque de Shutterstock/Nakaridore
