WordPress

Falhas críticas expõem plugin WordPress Fancy Product Designer a ataques

Por
Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
WordPress
3 min
Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

O plugin premium Fancy Product Designer, desenvolvido pela Radykal, enfrenta sérias críticas devido a duas vulnerabilidades de segurança críticas que permanecem sem solução, mesmo após várias atualizações recentes. Com mais de 20.000 vendas, o plugin é popular entre administradores de sites WooCommerce que desejam oferecer personalização de produtos, como roupas, capas de celular e canecas.

Plugin Fancy Product Designer expõe lojas virtuais a riscos graves

As falhas detectadas

Especialistas da Patchstack, liderados por Rafie Muhammad, identificaram os problemas em março de 2024. As falhas foram registradas sob as seguintes identificações:

  1. CVE-2024-51919 (pontuação CVSS: 9,0)
    Essa falha permite o upload de arquivos arbitrários não autenticados, possibilitando que invasores enviem arquivos maliciosos através de URLs remotas. Isso ocorre devido à falta de validação nas funções save_remote_file e fpd_admin_copy_file. Explorando essa vulnerabilidade, hackers podem obter execução remota de código (RCE) no servidor do site.
  2. CVE-2024-51818 (pontuação CVSS: 9,3)
    Trata-se de uma falha de injeção de SQL não autenticada causada pela insuficiência na sanitização de dados. O uso inadequado da função strip_tags permite que entradas maliciosas sejam inseridas diretamente no banco de dados, expondo-o a roubos, alterações ou exclusões de informações.

Resposta ineficiente e riscos imediatos

Apesar de a Patchstack ter comunicado a Radykal sobre as falhas em março, o fornecedor não respondeu nem lançou correções, mesmo após a publicação de 20 novas versões do plugin. A última versão disponível, 6.4.3, lançada em novembro de 2024, não resolve os problemas críticos.

A situação se agrava porque a Patchstack publicou recentemente detalhes técnicos sobre as falhas em seu blog, o que pode facilitar a criação de exploradores maliciosos para atacar lojas virtuais que utilizam o Fancy Product Designer.

Recomendações de segurança

Para minimizar riscos, administradores de sites WooCommerce devem tomar medidas preventivas, como:

  • Restringir uploads de arquivos: Criar uma lista de extensões permitidas, como .jpg e .png.
  • Sanitizar entradas de usuário: Garantir o uso de métodos seguros para formatar consultas SQL e evitar vulnerabilidades.

Enquanto a Radykal não se posiciona, especialistas recomendam buscar alternativas mais seguras para personalização de produtos em sites WordPress.

TAGS:
Compartilhe este artigo
Sair da versão mobile