Vulnerabilidade do plug-in de postagens populares do WordPress afeta mais de 100 mil sites
Um comunicado foi emitido sobre uma vulnerabilidade de alta gravidade do WordPress que permite que invasores injetem códigos de acesso arbitrários em sites usando o plug-in WordPress Popular Posts. Os invasores não precisam de uma conta de usuário para lançar um ataque.
O WordPress Popular Posts está instalado em mais de 100.000 sites, permitindo que os sites exibam as postagens mais populares em um determinado período de tempo e foi traduzido para dezesseis idiomas diferentes para estender seu uso em todo o mundo. Ele vem com recursos de cache para melhorar o desempenho e um console de administração que permite aos administradores do site visualizar estatísticas de popularidade.
Vulnerabilidade de código curto do WordPress
Shortcodes é um recurso que permite aos usuários inserir funcionalidades em uma página da web, inserindo um snippet predefinido entre colchetes que insere automaticamente um script que executa uma função, como adicionar um formulário de contato com um shortcode semelhante a este: (add_contact_form).
O WordPress está gradualmente evoluindo do uso de códigos de acesso em favor de blocos com funcionalidades específicas. O site oficial do desenvolvedor WordPress incentiva os desenvolvedores de plug-ins e temas a interromper o uso de códigos de acesso em favor de blocos dedicados, com o principal motivo sendo que é um fluxo de trabalho mais tranquilo para um usuário selecionar e inserir um bloco em vez de configurar um código de acesso dentro de um plug-in e depois inserir manualmente o shortcode em uma página da web.
WordPress aconselha:
“Recomendamos que as pessoas atualizem seus códigos de acesso para serem blocos.”
A vulnerabilidade descoberta no plugin WordPress Popular Posts é devido à implementação da funcionalidade shortcode, especificamente uma parte chamada do_shortcode(), que é uma função WordPress para processamento e execução de shortcodes que requer higienização de entrada e outros plugins padrão do WordPress e práticas de segurança de tema .
De acordo com um comunicado publicado pela Wordfence:
“O plugin WordPress Popular Posts para WordPress é vulnerável à execução arbitrária de shortcode em todas as versões até 7.1.0 inclusive. Isso se deve ao fato de o software permitir que os usuários executem uma ação que não valida adequadamente um valor antes de executar do_shortcode. Isso possibilita que invasores não autenticados executem códigos de acesso arbitrários.”
A parte sobre “validar um valor” geralmente significa verificar se o que o usuário insere (o “valor”), como o conteúdo de um shortcode, é validado para confirmar se é seguro e está em conformidade com as entradas esperadas antes de ser repassado para uso pelo site.
Log oficial de alterações do plug-in
Um changelog é a documentação do que está sendo atualizado, o que para os usuários do plugin oferece a oportunidade de entender o que está sendo atualizado e de tomar decisões sobre atualizar ou não sua instalação, portanto a transparência é importante.
O plugin WordPress Popular Posts é responsavelmente transparente em sua documentação da atualização.
O changelog do plugin aconselha:
“Corrige um problema de segurança que permite a execução arbitrária e não intencional de shortcode (adereços para Mikemyers e a equipe do Wordfence!)”
Ações recomendadas
Todas as versões do plugin WordPress Popular Posts até a versão 7.1.0, inclusive, são vulneráveis. Wordfence recomenda atualizar para a versão mais recente do plugin, 7.2.0.
Leia o comunicado oficial do Wordfence:
Postagens populares do WordPress <= 7.1.0 – Execução arbitrária de shortcode não autenticada
Imagem em destaque da Shutterstock/GrandeDuc
