Tecnologia

Brechas no WordPress deixam sites vulneráveis a ataques pelos comentários

Invasores podem aproveitar a brecha para executar códigos maliciosos pela área de comentários padrão do WP

wordpress (Peregrino Will Reign / Flickr)

wordpress (Peregrino Will Reign / Flickr)

DR

Da Redação

Publicado em 27 de abril de 2015 às 14h50.

Pesquisadores da empresa finlandesa de segurança Klikki divulgaram neste último domingo (26) detalhes sobre brechas de segurança preocupantes que atingem até as versões mais recentes do WordPress. As falhas permitem que um invasor use a área de comentários padrão de uma página para injetar códigos maliciosos, que são ativados e começam a rodar logo que um administrador já logado no site os visualiza.

Para que o ataque funcione, o comentário com o JavaScript simples precisa ser longo o suficiente, passando dos 64 Kb (ou mais de 66 mil caracteres, segundo o Ars Technica) suportados pelo MySQL TEXT, e ser aprovado automaticamente. Isso faz com o que o texto seja quebrado, e que um “HTML malformado seja gerado na página”, segundo o relato da Klikki.

Dessa forma, “nas configurações padrão, o invasor pode aproveitar a vulnerabilidade para executar os códigos arbitrários no servidor via editores e plugins de tema”. O vídeo abaixo mostra como o golpe funciona.

yt thumbnail

Essa invasão ainda permite que o “atacante” altere a senha do administrador, crie novas contas ou “faça qualquer coisa que um administrador logado possa fazer no sistema alvo”. Ou seja, dá controle total do site a um cibercriminoso. A existência da brecha foi confirmada nas versões 4.2, 4.1.2, 4.1.1 e 3.9.3 do WordPress com o MySQL 5.1.53 e 5.5.41, mas outras também devem ser afetadas.

Segundo a Klikki, o WordPress ignorou todas as tentativas de comunicação feitas pela empresa desde novembro do ano passado – e por isso a decisão de divulgar as informações foi tomada. Uma atualização que corrija a brecha, portanto, pode demorar a sair, ainda mais levando em conta que a última relatada pela companhia precisou de 14 meses para ser corrigida.

Ainda assim, dá para se prevenir desabilitando o sistema de comentários padrão e deixando de aprovar quaisquer mensagens recebidas por ele. E caso não seja possível ficar sem um campo do tipo, há boas alternativas à ferramenta, como o plugin do Facebook, o Disqus e o LiveFyre.

Fonte: Klikki

Acompanhe tudo sobre:INFOInternet

Mais de Tecnologia

Motorola Moto G54 ou Redmi Note 13 Pro: qual vale mais a pena na Black Friday?

Samsung Galaxy A15 ou Samsung Galaxy A05s: qual vale mais a pena em 2024?

Samsung Galaxy A55: vale a pena na Black Friday?

iPhone 11: Ainda vale a pena na Black Friday?