Vulnerabilidade em plug-in do WordPress é risco para milhares de sites

Proprietários de sites baseados em WordPress devem atualizar o plug-in Jetpack assim que possível devido a uma falha séria que pode expor seus usuários a ataques.

O Jetpack é um plug-in popular que oferece otimização gratuita para sites, gerenciamento e recursos de segurança. Ele foi desenvolvido pela Automatic, a companhia por trás do WordPress.com e pelo projeto open-source WordPress, e conta com mais de 1 milhão de instalações ativas.  

 

Pesquisadores da empresa de segurança Sucuri encontraram uma vulnerabilidade do tipo  cross-site scripting (XSS) que afeta todos os Jetpack lançados desde 2012, começando com a versão 2.0.

O problema está localizado no módulo Shortcode Embeds Jetpack que permite usuários incorporarem vídeos externos, imagens, documentos, tweets e outras fontes em seu conteúdo. Ele pode ser facilmente explorado para injetar código JavaScript malicioso nos comentários. 

Desde que o código Java é persistente, ele será executado nos browsers de usuários no contexto do site afetado toda vez que eles visualizarem o comentário malicioso. Isso pode ser usado para roubar cookies de autenticação, incluindo a sessão de administrador, para redirecionar visitantes a exploits ou injetar spam de otimização de busca. 

“A vulnerabilidade pode ser facilmente explorada via comentários wp e nós recomendamos que todos atualizem, caso você não o tenha feito ainda”, disse o pesquisador da Sucuri, Marc-Alexandre Montpas.

Sites que não têm o módulo Shortcode Embeds ativados não são afetados, mas este módulo fornece uma funcionalidade popular, então muitos sites podem tê-lo ativado.

Os desenvolvedores do Jetpack têm trabalhado com o time de segurança do WordPress para disponibilizar atualizações para todas as versões afetadas através do sistema de auto-atualização do WordPress. Versões Jetpack 4.0.3 ou mais recentes contém o reparo.

Caso usuários não queiram atualizarem para a última versão, os desenvolvedores Jetpack também fizeram lançamentos pontuais para todas as 21 vulnerabilidades do código Jetpack: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7, e  4.0.3.

Fonte: PCworld

Ler 286 vezes Última modificação em Quinta, 02 Junho 2016 14:41
Websceen Internet Solutions

A Webscreen Solutions e um empresa de desenvolvimento de sites localizada em Campinas interior de São Paulo. Atendemos clientes de diferentes ramos de atividade no Brasil e no Exterior.

Website.: www.webscreen.com.br

Newsletter

Assine nosso newsletter e receba código promocionais para novas assinaturas.

Não se preocupe, nós não enviamos spam