Uma falha de plug-in de SEO afetou pelo menos 800 mil sites do WordPress. De acordo com pesquisadores, são pelo menos duas falhas críticas que afetam o WordPress. Ambas são de alta gravidade e atingiram o popular plugin SEO WordPress “All in One”. Assim, ais de 3 milhões de sites foram expostos a ataques de controle. As falhas de segurança descobertas e relatadas pelo pesquisador de segurança da Automattic, Marc Montpas, são um bug crítico de escalonamento de privilégios autenticados (CVE-2021-25036) e uma injeção de SQL autenticada de alta gravidade (CVE-2021-25037).
O desenvolvedor do plug-in lançou uma atualização de segurança para resolver os dois bugs All in One em 7 de dezembro de 2021.
No entanto, mais de 820.000 sites que usam o plugin ainda não atualizaram sua instalação, de acordo com as estatísticas de download das últimas duas semanas desde que o patch foi lançado, e ainda estão expostos a ataques.
Pelo menos 800 mil sites do WordPress são afetados por falha de plug-in de SEO
O que torna essas falhas altamente perigosas é que, embora a exploração bem-sucedida das duas vulnerabilidades exija que os agentes da ameaça sejam autenticados, eles só precisam de permissões de baixo nível, como Assinante, para abusar delas em ataques.
Assinante é uma função de usuário padrão do WordPress (apenas como Contribuidor, Autor, Editor e Administrador), comumente habilitada para permitir que usuários registrados façam comentários em artigos publicados em sites WordPress.
Embora os assinantes normalmente só possam editar seu próprio perfil além de postar comentários, neste caso, eles podem explorar o CVE-2021-25036 para elevar seus privilégios e obter a execução remota de código em sites vulneráveis e, provavelmente, assumi-los completamente.
| Data | Download |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 12/12/2021 | 26677 |
| 13/12/2021 | 35666 |
| 14/12/2021 | 34938 |
| 2021-12-15 | 72301 |
| 16/12/2021 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| Total | 2171176 |
Administradores do WordPress devem atualizar o mais rápido possível
Como Montpas revelou, aumentar os privilégios abusando do CVE-2021-25036 é uma tarefa fácil em sites que executam uma versão de SEO All in One não corrigida, “alterando um único caractere para maiúsculas” para ignorar todas as verificações de privilégios implementadas.
“Isso é particularmente preocupante porque alguns dos endpoints do plugin são muito sensíveis. Por exemplo, o endpoint aioseo/v1/htaccess pode reescrever .htaccess de um site com conteúdo arbitrário”, explicou Montpas.
“Um invasor pode abusar desse recurso para ocultar backdoors .htaccess e executar código malicioso no servidor.”
Os administradores do WordPress que ainda usam as versões All In One SEO afetadas por essas vulnerabilidades graves (entre 4.0.0 e 4.1.5.2) que ainda não instalaram o patch 4.1.5.3 são aconselhados a fazê-lo imediatamente.
“Recomendamos que você verifique qual versão do plugin All In One SEO seu site está usando e, se estiver dentro da faixa afetada, atualize-o o mais rápido possível”, alertou o pesquisador há uma semana.
Via BleepingComputer
