in

Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites

Recomenda-se aos usuários que atualizem o plugin.

Milhões de sites WordPress sofrem ataques com bug de plug-in

Os proprietários de sites WordPress que usam o plugin Newsletter são aconselhados a atualizar suas instalações para bloquear ataques. A vulnerabilidade permite que hackers injetem backdoors, criem administradores não autorizados e potencialmente dominem seus sites.

A vulnerabilidade foi encontrada no plugin Newsletter do WordPress, que já foi baixado mais de 12 milhões de vezes desde que foi adicionado ao repositório oficial do WordPress e agora está instalado em mais de 300.000 sites.

Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites

Em um relatório, o analista de ameaças Ram Gall diz que descobriu duas falhas de segurança adicionais ao analisar um patch anterior publicado pelos desenvolvedores do plugin em 13 de julho.

Erros do plugin Newsletter do WordPress permitem que hackers injetem backdoors em 300 mil sites
Os proprietários de sites WordPress que usam o plugin Newsletter são aconselhados a atualizar suas instalações para bloquear ataques. Imagem: geralt | Pixabay.

Recomenda-se aos usuários do Newsletter que atualizem o plugin para a versão 6.8.3 o mais rápido possível. Assim, bloquearão ataques projetados para adicionar administradores desonestos ou injetar backdoors em seus sites.

Por exemplo, há dois meses, a Wordfence relatou uma campanha direcionada a centenas de milhares de sites WordPress. A campanha tentava coletar credenciais de banco de dados roubando arquivos de configuração depois de explorar com sucesso falhas conhecidas do XSS que afetavam plugins e temas do WordPress.

Gall disse na época:

O Wordfence Firewall bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites.

Além disso, na semana passada, uma vulnerabilidade encontrada no plugin wpDiscuz permitiu que hackers assumissem contas por meio de ataques de execução remota de código.

Por fim, caso queira ler mais matérias sobre código aberto, Linux, Android, hardware, internet, programação e ficar atualizado com as novidades do mundo da tecnologia, acompanhe as matérias no canal do Sempre Update no Telegram.

Fonte: Bleeping Computer

KingComposer corrige falha de XSS e afeta 100 mil sites WordPress

Bug crítico do plugin WordPress Product Review Lite foi descoberto

Falhas em dois plugins famosos do WordPress colocam milhões de sites em risco

Mais de 800 mil sites WordPress estão em risco devido a uma falha no plugin Ninja Forms

Lançado WordPress 5.4 “Adderley”