Posts Recentes:

SoftBank adquire fabricante de chips de IA do Reino Unido Graphcore

Empresa de chips do Reino Unido Gráficooré foi...

Pesquisadores do Google alertam que a IA está destruindo a internet

Um estudo feito por pesquisadores do Google aponta...

Vulnerabilidades nos plug-ins WooCommerce e Dokan Pro


WooCommerce publicou um comunicado sobre uma vulnerabilidade XSS enquanto o Wordfence alertou simultaneamente sobre uma vulnerabilidade crítica em um plugin WooCommerce chamado Dokan Pro. O comunicado sobre o Dokan Pro alertou que uma vulnerabilidade de injeção de SQL permite que invasores não autenticados extraiam informações confidenciais de um banco de dados de um site.

Plug-in Dokan Pro para WordPress

O plugin Dokan Pro permite ao usuário transformar seu site WooCommerce em um mercado de vários fornecedores semelhante a sites como Amazon e Etsy. Atualmente tem mais de 50.000 instalações. Versões de plug-ins até 3.10.3 inclusive são vulneráveis.

De acordo com o WordFence, a versão 3.11.0 representa a versão totalmente corrigida e mais segura.

WordPress.org lista o número atual de instalações de plugins da versão lite em mais de 50.000 e um número total de instalações de mais de 3 milhões. Neste momento, apenas 30,6% das instalações usavam a versão mais atualizada, 3.11, o que pode significar que 69,4% de todos os plugins Dokan Pro estão vulneráveis.

Captura de tela das estatísticas de download do plug-in Dokan

dokan total downloads 340

Changelog não mostra patch de vulnerabilidade

O changelog é o que informa aos usuários de um plugin o que está contido em uma atualização. A maioria dos criadores de plugins e temas publicará um aviso claro de que uma atualização contém um patch de vulnerabilidade. De acordo com o Wordfence, a vulnerabilidade afeta versões até a versão 3.10.3 inclusive. Mas a notação do changelog para a versão 3.10.4 lançada em 25 de abril de 2024 (que deveria ser corrigida) não mostra que há um patch. É possível que o editor do Dokan Pro e do Dokan Lite não quisesse alertar os hackers sobre a vulnerabilidade crítica.

Captura de tela do registro de alterações do Dokan Pro

changelog 64

Pontuação CVSS 10

O Common Vulnerability Scoring System (CVSS) é um padrão aberto para atribuir uma pontuação que representa a gravidade de uma vulnerabilidade. A pontuação de gravidade é baseada em quão explorável é, no impacto dela, além de métricas suplementares, como segurança e urgência, que juntas somam uma pontuação total da menos grave (1) à mais alta gravidade (10).

O plugin Dokan Pro recebeu uma pontuação CVSS de 10, o nível de severidade mais alto, o que significa que qualquer usuário do plugin é recomendado a tomar medidas imediatas.

Captura de tela da pontuação de gravidade da vulnerabilidade do Dokan Pro

dokan pro cvss vulnerabilit 554

Descrição da vulnerabilidade

Descobriu-se que o Dokan Pro contém uma vulnerabilidade de injeção de SQL não autenticada. Existem vulnerabilidades autenticadas e não autenticadas. Não autenticado significa que um invasor não precisa adquirir credenciais de usuário para lançar um ataque. Entre os dois tipos de vulnerabilidades, a não autenticada é o pior cenário.

Uma vulnerabilidade de injeção SQL do WordPress é aquela em que um plugin ou tema permite que um invasor manipule o banco de dados. O banco de dados é o coração de cada site WordPress, onde estão todas as senhas, nomes de login, postagens, temas e dados de plugins. Uma vulnerabilidade que permite a qualquer pessoa manipular o banco de dados é consideravelmente grave – isso é muito ruim.

É assim que o Wordfence descreve:

“O plugin Dokan Pro para WordPress é vulnerável à injeção de SQL por meio do parâmetro 'código' em todas as versões até 3.10.3, inclusive, devido ao escape insuficiente no parâmetro fornecido pelo usuário e à falta de preparação suficiente na consulta SQL existente. Isso possibilita que invasores não autenticados acrescentem consultas SQL adicionais a consultas já existentes que podem ser usadas para extrair informações confidenciais do banco de dados.”

Ação recomendada para usuários do Dokan Pro

Recomenda-se que os usuários do plugin Dokan Pro considerem atualizar seus sites o mais rápido possível. É sempre prudente testar as atualizações antes de carregá-las em um site. Mas devido à gravidade desta vulnerabilidade, os usuários devem considerar agilizar esta atualização.

WooCommerce publicou um comunicado sobre uma vulnerabilidade que afeta as versões 8.8.0 e superiores. A vulnerabilidade é classificada como 5.4, que é uma ameaça de nível médio e afeta apenas usuários que possuem o recurso Atributo de pedido ativado. No entanto, WooCommerce recomenda “fortemente” que os usuários atualizem o mais rápido possível para a versão mais atual (no momento em que este livro foi escrito), WooCommerce 8.9.3.

Vulnerabilidade de script entre sites (XSS) do WooCommerce

O tipo de vulnerabilidade que afeta o WooCommerce é chamado Cross Site Scripting (XSS), que é um tipo de vulnerabilidade que depende de um usuário (como um administrador de loja WooCommerce) clicar em um link.

De acordo com WooCommerce:

“Essa vulnerabilidade pode permitir scripts entre sites, um tipo de ataque em que um malfeitor manipula um link para incluir conteúdo malicioso (por meio de código como JavaScript) em uma página. Isso pode afetar qualquer pessoa que clicar no link, incluindo um cliente, o comerciante ou o administrador da loja.

…Não temos conhecimento de nenhuma exploração desta vulnerabilidade. O problema foi originalmente encontrado por meio do programa proativo de pesquisa de segurança da Automattic com o HackerOne. Nossas equipes de suporte não receberam nenhum relato de exploração e as análises de nossa equipe de engenharia não revelaram que ela havia sido explorada.”

Os hosts da Web devem ser mais proativos?

Desenvolvedor web e especialista em marketing de busca Adam J. Humphreys, Of Making 8, inc. (perfil do LinkedIn), acha que os hosts da web deveriam ser mais proativos na correção de vulnerabilidades críticas, mesmo que isso possa fazer com que alguns sites percam funcionalidade se houver um conflito com algum outro plugin ou tema em uso.

Adão observou:

“A questão mais profunda é o fato de que o WordPress permanece sem atualizações automáticas e com uma vulnerabilidade constante que é a ilusão de que seus sites são seguros. A maioria das atualizações principais não são realizadas por hosts e quase todos os hosts não realizam nenhuma atualização de plug-in, mesmo que as façam até que uma atualização principal seja executada. Depois, há o fato de que a maioria das atualizações de plug-ins premium muitas vezes não são executadas automaticamente. Muitos dos quais contêm patches de segurança críticos.”

Perguntei se ele se referia a uma atualização push, em que uma atualização é forçada em um site.

“Correto, muitos hosts não realizarão atualizações até uma atualização principal do WordPress. Os engenheiros da Softaculous confirmaram isso para mim. O WPEngine, que afirma que atualizações totalmente gerenciadas, não faz isso na frequência de correção em tempo hábil para esses plug-ins. WordPress sem gerenciamento contínuo é uma vulnerabilidade e ainda assim metade de todos os sites são feitos com ele. Este é um descuido do WordPress que deveria ser abordado, na minha opinião.”

Leia mais no Wordfence:

Dokan Pro

Leia a documentação oficial de vulnerabilidade do WooCommerce:

WooCommerce atualizado para solucionar vulnerabilidade de script entre sites

Imagem em destaque da Shutterstock/New Africa

Últimas

Câmeras Waymo capturam imagens de pessoa acusada de supostos cortes de pneus de robotaxi

Um morador de Castro Valley foi acusado na...

SoftBank adquire fabricante de chips de IA do Reino Unido Graphcore

Empresa de chips do Reino Unido Gráficooré foi...

Pesquisadores do Google alertam que a IA está destruindo a internet

Um estudo feito por pesquisadores do Google aponta...

César Lattes, físico e professor brasileiro, é homenageado no Google

Hoje, o Google celebra com um Doodle animado...

Assine

spot_img

Veja Também

Câmeras Waymo capturam imagens de pessoa acusada de supostos cortes de pneus de robotaxi

Um morador de Castro Valley foi acusado na...

SoftBank adquire fabricante de chips de IA do Reino Unido Graphcore

Empresa de chips do Reino Unido Gráficooré foi...

Pesquisadores do Google alertam que a IA está destruindo a internet

Um estudo feito por pesquisadores do Google aponta...

César Lattes, físico e professor brasileiro, é homenageado no Google

Hoje, o Google celebra com um Doodle animado...

O WhatsApp agora permite que empresas enviem códigos de autenticação para usuários na Índia

O WhatsApp agora permite que empresas enviem códigos...
spot_img

Câmeras Waymo capturam imagens de pessoa acusada de supostos cortes de pneus de robotaxi

Um morador de Castro Valley foi acusado na quinta-feira por supostamente cortar os pneus de 17 robotaxis Waymo em São Francisco entre 24...

SoftBank adquire fabricante de chips de IA do Reino Unido Graphcore

Empresa de chips do Reino Unido Gráficooré foi formalmente adquirida pelo SoftBank do Japão.Rumores do acordo abundam há algum tempomas negociações prolongadas e...

Pesquisadores do Google alertam que a IA está destruindo a internet

Um estudo feito por pesquisadores do Google aponta que a IA generativa, a mesma que a gigante de Mountain View está super incentivando,...