Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

Temas e plug-ins pirateados são a ameaça mais difundida para sites WordPress — wordpress

Recomenda-se que os proprietários de sites WordPress que usam temas comerciais fornecidos pelo ThemeGrill atualizem um dos plug-ins que vêm instalados com esses temas, a fim de corrigir um erro crítico que pode permitir que invasores apaguem seus sites. É isto mesmo: um bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites que usam os produtos desta empresa.

A vulnerabilidade reside no ThemeGrill Demo Importer, um plug-in fornecido com temas vendidos pela ThemeGrill , uma empresa de desenvolvimento web que vende temas comerciais do WordPress.

Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

O plug-in, instalado em mais de 200.000 sites, permite que os proprietários do site importem conteúdo de demonstração dentro dos temas do ThemeGrill, para que tenham exemplos e um ponto de partida no qual possam criar seus próprios sites.

No entanto, em um relatório publicado recentemente, a empresa de segurança do WordPress WebARX diz que as versões mais antigas do ThemeGrill Demo Importador são vulneráveis ??a ataques remotos de invasores não autenticados.

Os hackers remotos podem acionar uma função dentro do plug-in.

A função vulnerável redefine o conteúdo do site para zero, limpando efetivamente o conteúdo de todos os sites do WordPress em que um tema ThemeGrill está ativo e o plugin vulnerável está instalado.

Além disso, se o banco de dados do site contiver um usuário chamado “admin”, o invasor terá acesso a esse usuário com direitos totais de administrador sobre o site.

O WebARX diz que a vulnerabilidade afeta todas as versões do plugin ThemeGrill Demo Importer entre a versão 1.3.4 e 1.6.1.

ThemeGrill, o desenvolvedor do plugin, corrigiu o erro e lançou a versão 1.6.2 no fim de semana.

Segundo grande bug do ano

Este é o segundo bug em um plugin do WordPress que foi divulgado este ano que pode permitir que os invasores limpem os bancos de dados do site. No mês passado, a equipe do Wordfence revelou um problema semelhante no plugin WP Database Reset, instalado em mais de 80.000 sites.

Outros bugs notáveis ??do WordPress que foram divulgados este ano incluem:

Uma vulnerabilidade entre sites armazenada no plug-in de consentimento de cookies do GDPR, usado por mais de 700.000 sites.
Uma vulnerabilidade de CSRF para RCE no plug-in Snippets de código, usado por mais de 200.000 sites.
Um erro de desvio de autenticação no plug-in InfiniteWP, usado por mais de 300.000 sites.

ZDNet

Assuntos

Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

Notícias Relacionadas

Lançamento do MySQL 9.1.0 traz novas funcionalidades e melhorias críticas

6G inicia testes: velocidades da internet que ultrapassam a imaginação!

Segundo grande bug do ano

Outros bugs notáveis ??do WordPress que foram divulgados este ano incluem:

Ministério das Comunicações acelera conexão de banda larga em 4,5 mil escolas públicas até 2024

Azure Linux 3.0 atualizado com novas funcionalidades e integração com Valkey

MacPaw apresenta atualização significativa para CleanMyMac com design renovado e novos recursos

Amazon apresenta Kindle Colorsoft Signature Edition com display em e-ink colorido

Intel e AMD formam grupo consultivo para impulsionar o futuro do ecossistema x86

VirtualBox 7.1.4 lançado com suporte ao Linux 6.12 e melhorias no EFI