WordPress corre para consertar falha crítica pela segunda vez na semana

A plataforma de publicação web corrigiu vulnerabilidades que permitiam introduzir códigos maliciosos de JavaScript em comentários

A WordPress corrigiu nesta segunda-feira uma segunda vulnerabilidade crítica encontrada em sua plataforma de publicação web menos de uma semana depois de ter corrigido um problema similar.

Os administradores de sistemas foram alertados para fazer o upgrade para a versão 4.42.1 do WordPress. Sites WordPress que já são compatíveis com o plugin chamado Background Update Tester e o usam serão atualizados automaticamente.

A falha foi encontrada por Jouko Pynnönen da empresa finlandesa de software Klikki Oy. Pynnönen descobriu que o WordPress estaria vulnerável a um ataque de script cross-site por meio da inserção de um código malicioso em JavaScript dentro de um campo de comentário de artigo. O script entra em ação quando uma pessoa lê o comentário, diz o descritivo do problema.

Se um administrador de WordPress estiver logado quando o comentário malicioso for visto, o atacante pode então executar um código arbitrário no servidor através de plugin e dos editores de temas. O atacante poderia mudar a senha do administrador, criar novas contas de administrador ou manipular conteúdo de um site. A vulnerabilidade não causa danos a quem ler o comentário.

Klikki Oy alega que a WordPress parou de se comunicar com eles em novembro passado, quando a Klikki descobriu uma vulnerabilidade diferente no WordPress. Para esse problema recente, a Klikki informou que notificou a WordPress através da autoridade finlandesa de seguraça de computadores, a CERT-FI, e pela HackerOne, empresa que oferece um serviço de gestão de relatórios de vulnerabilidades e recompensas.

No dia 21 de abril, a WordPress corrigiu uma vulnerabilidade similar à que foi encontrada nesta segunda-feira, 27/04. O programador Cedric Van Bockhaven descobriu que sites WordPress estariam vulneráveis um ataque de script cross-site também envolvendo comentários no WordPress.

As falhas de script cross-site estão entre as vulnerabilidades mais perigosas e comuns da web, permitindo que um código criminoso possa ser ativado num local onde naturalmente seria impedido.

A WordPress é uma das plataformas de publicação de sites web mais usada no mercado. Pela estimativa da companhia, 23% dos sites da internet, incluindo grandes publishers como Time e CNN usam sua plataforma.

Fonte: ComputerWorld