Recentemente, duas falhas de segurança críticas foram identificadas no tema RealHome e no plugin Easy Real Estate para WordPress, ambos amplamente utilizados em sites de imóveis. Essas falhas podem permitir que invasores obtenham privilégios administrativos sem a necessidade de autenticação.
Vulnerabilidades no tema RealHome e Plugin Easy Real Estate ameaçam sites imobiliários
Detalhes das vulnerabilidades
O tema RealHome e o plugin Easy Real Estate são populares entre os desenvolvedores de sites imobiliários, com o tema RealHome sendo utilizado em mais de 32 mil sites, segundo dados do Envato Market. As falhas foram descobertas em setembro de 2024 pela equipe do Patchstack, mas até o momento, nenhuma correção foi disponibilizada pela InspiryThemes, criadora dos produtos.
A primeira vulnerabilidade, encontrada no tema RealHome, está relacionada a um problema de escalonamento de privilégios não autenticado. Essa falha é rastreada como CVE-2024-32444 e tem uma pontuação CVSS de 9,8, o que indica sua gravidade. O erro ocorre devido a uma falha na verificação de autorização e na falta de validação nonce durante o processo de registro de novos usuários, o que permite que invasores se registrem como administradores em um site afetado. Uma vez registrados, os invasores podem obter controle total sobre o site, comprometendo dados sensíveis e realizando ações prejudiciais, como a inserção de scripts maliciosos.
Notícias Relacionadas
Privacidade em risco
Falha em CDN da Cloudflare expõe dados de localização de usuários
Pesquisa revela falha na Cloudflare que permite rastrear a localização de usuários de aplicativos como Signal e Discord, mesmo sem interação. A precisão varia, mas pode afetar a privacidade de muitos.
Vulnerabilidades expostas
Hackers exploram falhas automotivas no pwn2own 2025
No Pwn2Own 2025, pesquisadores exploraram 16 dias zero e arrecadaram mais de R$ 1,9 milhão. Carregadores elétricos e sistemas veiculares foram os principais alvos.
O plugin Easy Real Estate também sofre de uma falha semelhante, rastreada como CVE-2024-32555, com a mesma pontuação CVSS de 9,8. Esse erro está relacionado ao recurso de login social, que permite que os usuários façam login em sites utilizando seu endereço de e-mail sem a devida verificação de propriedade do e-mail. Isso possibilita que um invasor se logue em um site como administrador, caso tenha acesso ao endereço de e-mail de um usuário administrador. As consequências dessa falha são igualmente graves, oferecendo aos invasores acesso irrestrito ao conteúdo e dados do site.
Recomendações de mitigação
Devido à falta de correções por parte do fornecedor, os administradores de sites que utilizam esses produtos devem desativá-los imediatamente para evitar a exploração dessas vulnerabilidades. Também é recomendada a restrição ao registro de novos usuários nos sites afetados, o que pode prevenir a criação de contas não autorizadas e reduzir os riscos de exploração.
Agora que as falhas são de conhecimento público, é esperado que agentes maliciosos comecem a explorar essas vulnerabilidades. Portanto, é fundamental que os administradores tomem medidas rápidas para proteger seus sites antes que ataques ocorram.
