Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

Temas e plug-ins pirateados são a ameaça mais difundida para sites WordPress
wordpress

Recomenda-se que os proprietários de sites WordPress que usam temas comerciais fornecidos pelo ThemeGrill atualizem um dos plug-ins que vêm instalados com esses temas, a fim de corrigir um erro crítico que pode permitir que invasores apaguem seus sites. É isto mesmo: um bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites que usam os produtos desta empresa.

A vulnerabilidade reside no ThemeGrill Demo Importer, um plug-in fornecido com temas vendidos pela ThemeGrill , uma empresa de desenvolvimento web que vende temas comerciais do WordPress.

Bug em plugin WordPress pode permitir que hackers apaguem até 200.000 sites

O plug-in, instalado em mais de 200.000 sites, permite que os proprietários do site importem conteúdo de demonstração dentro dos temas do ThemeGrill, para que tenham exemplos e um ponto de partida no qual possam criar seus próprios sites.

No entanto, em um relatório publicado recentemente, a empresa de segurança do WordPress WebARX diz que as versões mais antigas do ThemeGrill Demo Importador são vulneráveis ??a ataques remotos de invasores não autenticados.

Os hackers remotos podem acionar uma função dentro do plug-in.

A função vulnerável redefine o conteúdo do site para zero, limpando efetivamente o conteúdo de todos os sites do WordPress em que um tema ThemeGrill está ativo e o plugin vulnerável está instalado.

Além disso, se o banco de dados do site contiver um usuário chamado “admin”, o invasor terá acesso a esse usuário com direitos totais de administrador sobre o site.

O WebARX diz que a vulnerabilidade afeta todas as versões do plugin ThemeGrill Demo Importer entre a versão 1.3.4 e 1.6.1.

ThemeGrill, o desenvolvedor do plugin, corrigiu o erro e lançou a versão 1.6.2 no fim de semana.

Segundo grande bug do ano

Este é o segundo bug em um plugin do WordPress que foi divulgado este ano que pode permitir que os invasores limpem os bancos de dados do site. No mês passado, a equipe do Wordfence revelou um problema semelhante no plugin WP Database Reset, instalado em mais de 80.000 sites.

Outros bugs notáveis ??do WordPress que foram divulgados este ano incluem:

ZDNet

Acesse a versão completa
Sair da versão mobile