Threats

Plugin de segurança descontinuado expõe sites WordPress

Dois plugins do MiniOrange que já forma descontinuados colocam milhares de sites do WordPress em risco de takeover

18/03/2024

Plugin de segurança descontinuado expõe sites WordPress

Milhares de sites alojados em WordPress estão em potencial risco de takeover por causa de uma vulnerabilidade crítica em dois plugins de segurança da MiniOrange que foram descontinuados recentemente.

Os plugins – Malware Scanner e Web Application Firewall – da MiniOrange foram encerrados a 7 de março, dois dias depois das vulnerabilidades serem reportadas. A vulnerabilidade CVE-2024-2172 existe por causa de um capability check em falta numa função em ambos os plugins, o que permite que um atacante não autenticado aumente os seus privilégios para administrador.

Uma vez que não é feita uma validação de autenticação e password na tentativa de alterar a palavra-passe do utilizador, um atacante não autenticado pode atualizar a password de qualquer utilizador, desde que forneçam um nome de utilizador válido.

Quando foi descontinuado, o Malware Scanner tinha mais de dez mil instalações ativas, enquanto o Web Application Firewall tinha mais de 300. Tendo em conta que os plugins foram descontinuados, quem instalou deverá retirar os plugins o mais depressa possível.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.