Página Inicial



twitter

Facebook

  Notícia
|

 

VULNERABILIDADE CRÍTICA EM PLUGIN DE WORDPRESS PODE AFETAR MILHARES DE SITES

03/07/2014

Uma falha grave de segurança foi descoberta no plugin MailPoet Newsletters para WordPress. Através da vulnerabilidade, um atacante poderia assumir controle total do site e publicar arquivos maliciosos sem o conhecimento do proprietário.

O MailPoet Newsletters é uma solução para criação e envio de newsletters e já foi baixado 1,7 milhão de vezes no site oficial da plataforma. A falha foi descoberta pela empresa de segurança Sucuri e foi corrigida pela versão 2.6.7 do plugin, lançada nesta terça-feira.

De acordo com Daniel Cid, CEO da Sucuri, “este bug deve ser levado a sério; ele oferece ao potencial intruso o poder de fazer qualquer coisa que quiser com o site de sua vítima. Ele permite que qualquer arquivo PHP seja enviado para o servidor e assim o atacante pode usar o site afetado como isca de phishing, para enviar SPAM, hospedar malware, infectar outros clientes em um servidor compartilhado e mais”.

A vulnerabilidade foi removida pelo criador do plugin e a recomendação é que os usuários do MailPoet Newsletters atualizem suas versões imediatamente para a 2.6.7. A falha confiava na função admin_init() para liberar o uso de upload para os usuários, mas a permissão também era disparada em páginas que não pertenciam ao administrador. Para Daniel Cid, “se você é um desenvolvedor, nunca use admin_init() ou  is_admin() como método de autenticação”.

Ainda não se sabe exatamente o número de websites afetados pela falha de segurança.
 
 
 
Fonte: Codigo Fonte

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar