Posts Recentes:

Bill Weber deixa o cargo de CEO da Firefly Aerospace

Bill Weber deixou o cargo de presidente-executivo da...

26 Common SEO Myths, Debunked

SEO is a complex, vast, and sometimes mysterious...

O cenário de startups de Israel mostra resiliência apesar de nove meses de guerra

Quando a guerra entre Israel e o Hamas...

Vulnerabilidade do plug-in WordPress Google Fonts afeta até mais de 300.000 sites


Uma vulnerabilidade classificada como Alta foi recentemente corrigida em um plugin de otimização do Google Fonts para WordPress, permitindo que invasores excluam diretórios inteiros e carreguem scripts maliciosos.

Meu Deus | Plug-in WordPress compatível com GDPR/DSGVO

O plug-in, OMGF | Compatível com GDPR/DSGVO, fontes do Google mais rápidas. Easy., otimiza o uso do Google Fonts para reduzir o impacto na velocidade da página e também é compatível com GDPR, tornando-o valioso para usuários na União Europeia que desejam implementar o Google Fonts.

Captura de tela da classificação de vulnerabilidade do Wordfence

Vulnerabilidade do plug-in WordPress Google Fonts afeta até mais de 300.000 sitesVulnerabilidade do plug-in WordPress Google Fonts afeta até mais de 300.000 sites

Vulnerabilidade

A vulnerabilidade é particularmente preocupante porque permite invasores não autenticados. “Não autenticado” significa que um invasor não precisa estar registrado no site ou ter qualquer nível de credenciais.

A vulnerabilidade é descrita como permitindo a exclusão não autenticada de diretório e permitindo o upload de cargas úteis de Cross-Site Scripting (XSS).

Cross-Site Scripting (XSS) é um tipo de ataque em que um script malicioso é carregado em um servidor de site, que pode então ser usado para atacar remotamente os navegadores de qualquer visitante. Isso pode resultar no acesso aos cookies ou às informações da sessão de um usuário, permitindo que o invasor assuma o nível de privilégio desse usuário que visita o site.

A causa da vulnerabilidade, identificada pelos pesquisadores do Wordfence, é a falta de uma verificação de capacidade – um recurso de segurança que verifica se um usuário tem acesso a um recurso específico de um plugin, neste caso, um recurso de nível de administrador.

Uma página oficial do desenvolvedor WordPress para criadores de plug-ins diz o seguinte sobre a verificação de capacidade:

“As capacidades do usuário são as permissões específicas que você atribui a cada usuário ou a uma função de usuário.

Por exemplo, os administradores têm o recurso “manage_options” que lhes permite visualizar, editar e salvar opções do site. Os editores, por outro lado, não possuem esse recurso, o que os impedirá de interagir com as opções.

Esses recursos são verificados em vários pontos do Admin. Dependendo das capacidades atribuídas a uma função; menus, funcionalidades e outros aspectos da experiência do WordPress podem ser adicionados ou removidos.

Ao construir um plugin, certifique-se de executar seu código somente quando o usuário atual tiver os recursos necessários.”

Wordfence descreve a causa da vulnerabilidade:

“…é vulnerável à modificação não autorizada de dados e scripts entre sites armazenados devido a uma verificação de capacidade ausente na função update_settings() conectada via admin_init em todas as versões até 5.7.9, inclusive.”

O Wordfence também afirma que as atualizações anteriores tentaram fechar a lacuna de segurança, mas considera a versão 5.7.10 a versão mais segura do plugin.

Leia o aviso de vulnerabilidade do Wordfence:

Meu Deus | Compatível com GDPR/DSGVO, fontes do Google mais rápidas. Fácil. <= 5.7.9 – Autorização ausente para exclusão de diretório não autenticado e scripts entre sites

Imagem em destaque por Shutterstock/Nikulina Tatiana

Últimas

Bill Weber deixa o cargo de CEO da Firefly Aerospace

Bill Weber deixou o cargo de presidente-executivo da...

26 Common SEO Myths, Debunked

SEO is a complex, vast, and sometimes mysterious...

O cenário de startups de Israel mostra resiliência apesar de nove meses de guerra

Quando a guerra entre Israel e o Hamas...

Netflix muda foco para nível suportado por anúncios à medida que o crescimento de assinantes aumenta

A Netflix está eliminando seu plano mais barato...

Assine

spot_img

Veja Também

Bill Weber deixa o cargo de CEO da Firefly Aerospace

Bill Weber deixou o cargo de presidente-executivo da...

26 Common SEO Myths, Debunked

SEO is a complex, vast, and sometimes mysterious...

O cenário de startups de Israel mostra resiliência apesar de nove meses de guerra

Quando a guerra entre Israel e o Hamas...

Netflix muda foco para nível suportado por anúncios à medida que o crescimento de assinantes aumenta

A Netflix está eliminando seu plano mais barato...

Por que grupos de anúncios de palavras-chave únicas ainda são importantes em 2024

Entreviste 10 especialistas do Google Ads e nove...
spot_img

Bill Weber deixa o cargo de CEO da Firefly Aerospace

Bill Weber deixou o cargo de presidente-executivo da Firefly Aerospace, após quase dois anos no cargo, anunciou a fabricante de veículos de lançamento,...

26 Common SEO Myths, Debunked

SEO is a complex, vast, and sometimes mysterious practice. There are a lot of aspects to SEO that can lead to confusion. Not everyone...

O cenário de startups de Israel mostra resiliência apesar de nove meses de guerra

Quando a guerra entre Israel e o Hamas eclodiu em Outubro passado, examinámos o seu potencial impacto nos ecossistemas tecnológicos em Israel e...