Mais de 100.000 sites WordPress são afetados por uma falha de alta gravidade em um plug-in que auxilia os sites a enviar e-mails e boletins informativos aos assinantes

A vulnerabilidade existe no plug-in Email Subscribers & Newsletters da Icegram, que permite aos usuários coletar leads e enviar novos emails de notificação de postagem no blog. Um invasor remoto não autenticado pode explorar a falha para enviar emails falsos a todos os destinatários das listas de contatos ou assinantes disponíveis - com controle total sobre o conteúdo e o assunto do email.

Para corrigir a falha, os usuários devem “atualizar para o plugin WordPress Email Subscribers & Newsletters pelo Icegram versão 4.5.6 ou superior”, de acordo com pesquisadores da Tenable, que descobriram a falha, em um comunicado na semana passada.

A falha foi classificada em 7,5 de 10 na escala CVSS, tornando-a alta gravidade e afeta as versões 4.5.5 e anteriores do plugin WordPress Email Subscribers & Newsletters.

“Os usuários não autenticados podem enviar uma solicitação ajax para o gancho admin_init”, disse Alex Peña, engenheiro de pesquisa da Tenable, ao site Threatpost.

Ao manipular os parâmetros de solicitação, Peña disse que um invasor poderia então agendar uma nova transmissão para uma lista inteira de contatos, devido à falta de um mecanismo de autenticação no local.

“Um usuário não autenticado não deve ser capaz de criar uma mensagem de transmissão”, afirma.

Segundo Peña, isso poderia ser usado para realizar um ataque de phishing ou golpe, semelhante ao ataque experimentado pelo Twitter recentemente , onde indivíduos de uma lista de e-mails de uma organização específica são direcionados. Como o e-mail viria de uma fonte confiável, os destinatários são mais propensos a confiar na comunicação e serem convencidos por seu conteúdo.

Foi descoberto que os plug-ins do WordPress foram crivados de falhas no mês passado. No início de agosto , um plugin projetado para adicionar questionários e pesquisas a sites WordPress corrigiu duas vulnerabilidades críticas.

As falhas podem ser exploradas por atacantes remotos não autenticados para lançar ataques variados - incluindo o controle total de sites vulneráveis. Também em agosto, o Newsletter, um plugin do WordPress com mais de 300.000 instalações, foi descoberto por ter um par de vulnerabilidades que podem levar à execução de código e até mesmo ao controle do site.

E, em julho , pesquisadores alertaram sobre uma vulnerabilidade crítica em um plugin do WordPress chamado Comments - wpDiscuz, que está instalado em mais de 70.000 sites. A falha deu a invasores não autenticados a capacidade de fazer upload de arquivos arbitrários (incluindo arquivos PHP) e, por fim, executar código remoto em servidores de sites vulneráveis.

Nós da Ksecurity, contamos com uma equipe de especialistas em segurança da informação e estamos prontos para deixar seus dados em segurança.

Converse agora com um de nossos especialistas e descubra a melhor solução para seu negócio: comercial@ksecurity.com.br

Fonte: ThreatPost