Ataques de Cross Site Scripting (XSS) no plugin Custom Field Suite do WordPress
Nos últimos dias uma vulnerabilidade de XSS vem sendo explorada no plugin Custom Field Suite, utilizado por mais de 40.000 sites em WordPress ao redor do mundo.
Essa vulnerabilidade ocorre na função ajax_handler no arquivo /includes/init.php do mesmo, uma falta de verificação de autenticação na hora de atualizar ou importar configurações do plugin, tal falha permite que um invasor possa enviar códigos maliciosos para seu site.
Impactos:
Com essa falha sendo explorada é possível que sejam enviados códigos maliciosos para seu banco de dados a fim de fazer com que seu site seja redirecionado para outros de conteúdo malicioso. Essa falha está ligada as versões baixo da 2.5.15, com pode ver abaixo.
Atualização:
A vulnerabilidade ocorre abaixo da versão 2.5.15, sendo assim se você utiliza esse plugin recomendamos que seja atualizado o mais rápido possível.
Para saber um pouco mais sobre as falhas separarei algumas referências:
https://nvd.nist.gov/vuln/detail/CVE-2019-11871#vulnCurrentDescriptionTitle
https://wpvulndb.com/vulnerabilities/9273
E aí, gostou do nosso artigo? Então veja também:
- Aprenda como desenvolver com IONIC
- Atualizações disponíveis para o docker
- Snappydroid
- Criptomoedas
- Evangelista tecnológico
- Excelente notícia! Backup do WhatsApp não vai mais consumir espaço no Google Drive
- Inteligência artificial
- As manias da Campus Party
- ATUALIZAÇÕES DISPONÍVEIS PARA O DOCKER
Este artigo foi escrito pelo Andre Olivato, Analista de segurança.
