Uma falha crítica de segurança foi divulgada no plug-in de login e registro social do miniOrange para WordPress. Essa falha pode permitir que um agente mal-intencionado faça login, pois qualquer informação fornecida pelo usuário sobre o endereço de e-mail já é conhecida.
Contas WordPress são expostas por falha crítica em plug-in
Rastreada como CVE-2023-2982 (pontuação CVSS: 9,8), a falha de desvio de autenticação afeta todas as versões do plug-in, incluindo e anteriores a 7.6.4. Foi resolvido em 14 de junho de 2023, com o lançamento da versão 7.6.5 após divulgação responsável em 2 de junho de 2023.
As contas do WordPress ficaram expostas por esta falha crítica e, de acordo com o pesquisador do Wordfence István Márton:
A vulnerabilidade possibilita que um invasor não autenticado obtenha acesso a qualquer conta em um site, incluindo contas usadas para administrar o site, se o invasor souber ou puder encontrar o endereço de e-mail associado.
O problema está enraizado no fato de que a chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada, levando a um cenário em que os invasores podem criar uma solicitação válida com um endereço de e-mail criptografado corretamente usado para identificar o usuário.
Se a conta pertencer ao administrador do site WordPress, isso pode resultar em um comprometimento total. O plug-in é usado em mais de 30.000 sites. Ou seja, há milhares de contas vulneráveis à ataques, em função dessa falha.
Outras falhas
O comunicado segue a descoberta de uma falha de alta gravidade que afeta o plug-in LearnDash LMS, um plug-in WordPress com mais de 100.000 instalações ativas, que pode permitir que qualquer usuário com uma conta existente redefina senhas de usuário arbitrárias, incluindo aquelas com acesso de administrador.
O bug (CVE-2023-3105, pontuação CVSS: 8.8) foi corrigido na versão 4.6.0.1, lançada em 6 de junho de 2023. Ele também vem semanas depois que o Patchstack detalhou uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no plug-in UpdraftPlus (CVE-2023-32960, pontuação CVSS: 7.1) que pode permitir que um invasor não autenticado roube dados confidenciais e eleve privilégios enganando um usuário com permissões administrativas para visitar um URL de site WordPress criado.
Esperamos que os usuários se atentem às atualizações e mantenham seus sistemas atualizados, para se livrarem de vulnerabilidades como esta de agora, por exemplo. É essencial para a segurança, que as atualizações aconteçam assim que forem lançadas pelas empresas.