Vulnerabilidade Crítica

Vulnerabilidade crítica nos plugins InPost expõe 10.000 sites WordPress a ataques graves

Uma vulnerabilidade crítica nos plugins InPost PL e InPost para WooCommerce afeta mais de 10.000 sites, permitindo leitura e exclusão de arquivos. Atualize para a versão mais recente e proteja seu site de ataques.

Vulnerabilidade crítica nos plugins InPost expõe 10.000 sites WordPress a ataques graves

Em 25 de junho de 2024, uma grave vulnerabilidade de leitura e exclusão arbitrária de arquivos foi descoberta nos plugins WordPress InPost PL e InPost para WooCommerce, que contam com mais de 10.000 instalações ativas combinadas. Esta falha, relatada durante a promoção do 0-day Threat Hunt de um programa de Bug Bounty, permite que agentes maliciosos não autenticados leiam e deletem arquivos cruciais, incluindo o arquivo de configuração wp-config.php, abrindo caminho para a tomada completa do site e potencial execução remota de código.

Detalhes técnicos da vulnerabilidade

Os plugins InPost PL e InPost para WooCommerce, projetados para integrar serviços de entrega ao WooCommerce, contêm uma falha séria na função parse_request() dentro da classe EasyPack_Helper. Esta função é utilizada para gerar e baixar etiquetas de envio em formato PDF. Contudo, a implementação inadequada de verificações de segurança no parâmetro de arquivo (file) permite que invasores especifiquem qualquer arquivo no servidor para leitura e subsequente exclusão.

A função get_file() do plugin, responsável por processar os downloads, não sanitiza adequadamente o nome do arquivo, utilizando a função readfile() para ler o conteúdo do arquivo e em seguida excluí-lo com a função unlink(). Isso torna possível que atacantes leiam e excluam arquivos arbitrários no servidor, incluindo o vital wp-config.php. A exclusão desse arquivo coloca o site em um estado de configuração inicial, permitindo que o atacante o conecte a um banco de dados sob seu controle, efetivamente assumindo o controle do site WordPress.

Impacto e medidas de mitigação

A vulnerabilidade afeta todos os sites que utilizam as versões 1.4.4 e anteriores do plugin InPost PL, assim como as versões 1.4.0 e anteriores do plugin InPost para WooCommerce. Com uma pontuação CVSS de 10.0, essa falha é considerada crítica, especialmente em servidores Windows, onde todos os arquivos do servidor estão em risco de leitura e exclusão. Em servidores Linux, o ataque é limitado à exclusão de arquivos dentro da instalação WordPress, mas a leitura de qualquer arquivo permanece possível.

Após a confirmação do relatório de vulnerabilidade, a equipe de Wordfence iniciou contato com os desenvolvedores responsáveis em 4 de julho de 2024. Uma versão corrigida do plugin InPost PL (v1.4.5) foi lançada em 10 de julho de 2024, enquanto o plugin InPost para WooCommerce foi removido do repositório WordPress em 8 de agosto de 2024.

Ação recomendada para administradores

É recomendado que todos os administradores de sites WordPress que utilizam o plugin InPost PL atualizem imediatamente para a versão 1.4.5. Para aqueles que ainda utilizam o plugin InPost para WooCommerce, é imperativo que o desinstalem e substituam pelo plugin InPost PL. Além disso, é aconselhável revisar as permissões de arquivos e monitorar os logs de segurança para identificar qualquer atividade suspeita.

Conclusão

A descoberta dessa vulnerabilidade sublinha a importância crítica de manter plugins WordPress atualizados e de adotar práticas de segurança robustas. Administradores de sites que utilizam esses plugins devem tomar medidas imediatas para proteger seus sites contra possíveis ataques. Compartilhar essa informação com outros administradores pode ajudar a prevenir compromissos de segurança em larga escala.

Não arrisque a segurança do seu site. Atualize agora seus plugins e compartilhe este alerta para ajudar a proteger outros sites WordPress.

Acesse a versão completa
Sair da versão mobile