Bugs de plugin WordPress permitem que invasores sequestrem até 100 mil sites

Administradores de sites WordPress que usam o plugin Ultimate Member devem atualizá-lo para a versão mais recente para bloquear invasores. O Ultimate Member é um plugin WordPress com mais de 100.000 instalações ativas projetado para tornar mais fácil a tarefa de gerenciamento de perfis e membros.

O plugin fornece suporte para a criação de sites, permitindo fácil inscrição e construção de comunidades online com privilégios personalizados.

Bugs de plugin WordPress permitem que invasores sequestrem até 100 mil sites

Em um relatório publicado pela Wordfence, a analista de ameaças Chloe Chamberland disse que as três falhas de segurança divulgadas poderiam ter permitido que invasores escalassem seus privilégios para administradores e assumissem totalmente qualquer site WordPress.

Todos os três bugs foram corrigidos com o lançamento do Ultimate Member 2.1.12 em 29 de outubro. Um deles é considerado como muito crítico, visto que torna possível que usuários originalmente não autenticados escalem facilmente seus privilégios para os de um administrador.

Embora o Ultimate Member 2.1.12, a versão que corrige as três vulnerabilidades, tenha sido lançado em 26 de outubro, o plugin foi baixado cerca de 75.000 vezes. Isso significa que pelo menos 25.000 sites WordPress com instalações ativas ainda estão potencialmente expostos a ataques.

Os usuários do Ultimate Member devem atualizar o plugin para 2.1.12 o mais rápido possível para evitar ataques. Em caso de dúvidas, entre no grupo do Sempre Update no Telegram.

Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.

Bleeping Computer