Segurança digital

Falhas críticas expõem plugin WordPress Fancy Product Designer a ataques

Duas falhas críticas no plugin Fancy Product Designer, amplamente usado em sites WordPress, permanecem sem correção, expondo milhares de lojas virtuais a ataques graves.

09/01/2025 07:00

O plugin premium Fancy Product Designer, desenvolvido pela Radykal, enfrenta sérias críticas devido a duas vulnerabilidades de segurança críticas que permanecem sem solução, mesmo após várias atualizações recentes. Com mais de 20.000 vendas, o plugin é popular entre administradores de sites WooCommerce que desejam oferecer personalização de produtos, como roupas, capas de celular e canecas.

Plugin Fancy Product Designer expõe lojas virtuais a riscos graves

Imagem com a logomarca do WordPress com fundo vermelho

As falhas detectadas

Especialistas da Patchstack, liderados por Rafie Muhammad, identificaram os problemas em março de 2024. As falhas foram registradas sob as seguintes identificações:

CVE-2024-51919 (pontuação CVSS: 9,0)
Essa falha permite o upload de arquivos arbitrários não autenticados, possibilitando que invasores enviem arquivos maliciosos através de URLs remotas. Isso ocorre devido à falta de validação nas funções save_remote_file e fpd_admin_copy_file. Explorando essa vulnerabilidade, hackers podem obter execução remota de código (RCE) no servidor do site.
CVE-2024-51818 (pontuação CVSS: 9,3)
Trata-se de uma falha de injeção de SQL não autenticada causada pela insuficiência na sanitização de dados. O uso inadequado da função strip_tags permite que entradas maliciosas sejam inseridas diretamente no banco de dados, expondo-o a roubos, alterações ou exclusões de informações.

Resposta ineficiente e riscos imediatos

Apesar de a Patchstack ter comunicado a Radykal sobre as falhas em março, o fornecedor não respondeu nem lançou correções, mesmo após a publicação de 20 novas versões do plugin. A última versão disponível, 6.4.3, lançada em novembro de 2024, não resolve os problemas críticos.

A situação se agrava porque a Patchstack publicou recentemente detalhes técnicos sobre as falhas em seu blog, o que pode facilitar a criação de exploradores maliciosos para atacar lojas virtuais que utilizam o Fancy Product Designer.

Recomendações de segurança

Para minimizar riscos, administradores de sites WooCommerce devem tomar medidas preventivas, como:

Restringir uploads de arquivos: Criar uma lista de extensões permitidas, como .jpg e .png.
Sanitizar entradas de usuário: Garantir o uso de métodos seguros para formatar consultas SQL e evitar vulnerabilidades.

Enquanto a Radykal não se posiciona, especialistas recomendam buscar alternativas mais seguras para personalização de produtos em sites WordPress.

Jardeson Márcio

Assuntos

Mais Notícias

Mais artigos

Logotipo do WordPress em tons de preto e cinza, sobre um fundo escuro com várias sombras do mesmo símbolo

Guerra declarada

A verdadeira face do conflito entre Matt Mullenweg e o WP Engine

Nos bastidores da comunidade WordPress, a batalha entre Matt Mullenweg, o fundador do WordPress, e o WP Engine — uma das maiores empresas de hospedagem focadas na plataforma — tem se intensificado de maneira inesperada. Aqueles que pensam que essa é apenas mais uma disputa empresarial comum, se enganam. O que estamos testemunhando aqui é […]

Mão segurando o logotipo do WordPress em fundo de madeira clara

Novidades WordPress

WordPress 6.7: novas funcionalidades e o inovador tema Twenty Twenty-Five

O WordPress 6.7 chega com diversas melhorias que potencializam a criação de sites, destacando o tema flexível Twenty Twenty-Five, ideal para diferentes projetos. Com novas opções de personalização, o tema permite ajustar estilos, blocos e cores, tornando-o perfeito para usuários que buscam simplicidade sem abrir mão do design sofisticado. Principais novidades do WordPress 6.7 Tema […]

Logotipo da Automattic formado por palavras-chave relacionadas ao trabalho e à missão da empresa, como "negócios", "sustentável", "inovação", e "aprendizado", sobre um fundo branco.

Resposta oficial

Automattic responde a processo da WP Engine e nega todas as acusações

Na noite de 3 de outubro de 2024, a Automattic divulgou uma resposta oficial ao processo movido pela WP Engine, que envolve também Matt Mullenweg e o WordPress.org. A empresa classificou a ação judicial como “sem fundamento” e afirmou que todas as alegações da WP Engine são distorções grosseiras da realidade. A Automattic enfatizou que […]

Conflito em escalada

WP Engine é banida do WordPress.org após disputas jurídicas

WP Engine foi banida do WordPress.org, após ações legais e disputas sobre o uso de recursos e marcas. Clientes WP Engine são incentivados a procurar outros hosts para evitar problemas.

Logotipo da WP Engine ao lado do logotipo do ACF e outros produtos, simbolizando a parceria ou associação entre a WP Engine e o Advanced Custom Fields

Conflito jurídico

WP Engine acusa Automattic de conduta antiética e exige retratação imediata

WP Engine envia carta à Automattic, acusando seu CEO de extorsão e difamação. A empresa exige a cessação imediata das ações e a preservação de documentos relevantes para o litígio em curso.

Logotipo da Automattic com ícones dos produtos WordPress, WooCommerce, Tumblr e outros, sobre fundo azul

Tomada inesperada

WordPress: Automattic assume controle do ACF, gerando polêmica

Automattic assumiu o controle do plugin Advanced Custom Fields (ACF) sem aviso prévio, utilizando uma brecha nas diretrizes do WordPress.org. A decisão aumentou as tensões entre Automattic e WP Engine.