Uma falha de plug-in de SEO afetou pelo menos 800 mil sites do WordPress. De acordo com pesquisadores, são pelo menos duas falhas críticas que afetam o WordPress.
Ambas são de alta gravidade e atingiram o popular plugin SEO WordPress “All in One”. Assim, ais de 3 milhões de sites foram expostos a ataques de controle. As falhas de segurança descobertas e relatadas pelo pesquisador de segurança da Automattic, Marc Montpas, são um bug crítico de escalonamento de privilégios autenticados (CVE-2021-25036) e uma injeção de SQL autenticada de alta gravidade (CVE-2021-25037).
O desenvolvedor do plug-in lançou uma atualização de segurança para resolver os dois bugs All in One em 7 de dezembro de 2021.
No entanto, mais de 820.000 sites que usam o plugin ainda não atualizaram sua instalação, de acordo com as estatísticas de download das últimas duas semanas desde que o patch foi lançado, e ainda estão expostos a ataques.
” É por isso que a Agência Carcará não faz a gestão de SEO de um website “apenas e unicamente” baseado em plugins do WordPress! Isso é um grande erro, é necessário ter uma estratégia consolidada, pautada em outros elementos muito mais importantes. Quando você aposta todas as suas fichas em um único elemento ou solução, está fadado a problemas futuros”. Comenta Alexandre Augusto sócio fundador da Carcará
Pelo menos 800 mil sites do WordPress são afetados por falha de plug-in de SEO
O que torna essas falhas altamente perigosas é que, embora a exploração bem-sucedida das duas vulnerabilidades exija que os agentes da ameaça sejam autenticados, eles só precisam de permissões de baixo nível, como Assinante, para abusar delas em ataques.
Assinante é uma função de usuário padrão do WordPress (apenas como Contribuidor, Autor, Editor e Administrador), comumente habilitada para permitir que usuários registrados façam comentários em artigos publicados em sites WordPress.
Embora os assinantes normalmente só possam editar seu próprio perfil além de postar comentários, neste caso, eles podem explorar o CVE-2021-25036 para elevar seus privilégios e obter a execução remota de código em sites vulneráveis e, provavelmente, assumi-los completamente.
| Data | Download |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 12/12/2021 | 26677 |
| 13/12/2021 | 35666 |
| 14/12/2021 | 34938 |
| 2021-12-15 | 72301 |
| 16/12/2021 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| Total | 2171176 |
Administradores do WordPress devem atualizar o mais rápido possível
Como Montpas revelou, aumentar os privilégios abusando do CVE-2021-25036 é uma tarefa fácil em sites que executam uma versão de SEO All in One não corrigida, “alterando um único caractere para maiúsculas” para ignorar todas as verificações de privilégios implementadas.
“Isso é particularmente preocupante porque alguns dos endpoints do plugin são muito sensíveis. Por exemplo, o endpoint aioseo/v1/htaccess pode reescrever .htaccess de um site com conteúdo arbitrário”, explicou Montpas.
“Um invasor pode abusar desse recurso para ocultar backdoors .htaccess e executar código malicioso no servidor.”
Os administradores do WordPress que ainda usam as versões All In One SEO afetadas por essas vulnerabilidades graves (entre 4.0.0 e 4.1.5.2) que ainda não instalaram o patch 4.1.5.3 são aconselhados a fazê-lo imediatamente.
“Recomendamos que você verifique qual versão do plugin All In One SEO seu site está usando e, se estiver dentro da faixa afetada, atualize-o o mais rápido possível”, alertou o pesquisador há uma semana.
Via BleepingComputer
Conheça nossos canais sociais: Como chegar, Instagram, Facebook e Youtube
Written by Alexandre Augusto
Olá sou Alexandre Augusto sócio da Agência Carcará de Publicidade em Brasília em conjunto com meu sócio e Diretor de Criação Raul Evaristo. Desde 2013 a Agência Carcará figura entre as mais importantes empresas de propaganda e marketing digital no DF e em Brasília. O foco da Carcará é o de promover e fidelizar a sua marca levando sua empresa a ter sucesso em Brasília e no Distrito Federal, por meio de gestão de campanhas publicitárias (com as de matrícula escolar) eficientes isso sem falar na Gestão de SEO e desenvolvimento de sites, além da criação de Vídeos Promocionais. Conheça nossos canais sociais: Instagram, Facebook e Youtube
