Pesquisar

Falha no Eventin permite invasão total

O plugin Eventin, usado para gerenciar eventos em sites WordPress, apresentava uma falha grave que permitia a criação de usuários com privilégios de administrador sem qualquer verificação. O problema foi identificado por Denver Jackson, da Patchstack Alliance.

Leia também
Risco de pane geral em software por falta de testes
IA soberana é o próximo desafio em tecnologia

A vulnerabilidade estava no recurso de importação de palestrantes. Ao enviar um arquivo com dados manipulados, era possível inserir um palestrante com a função de “administrador”. O sistema criava o novo usuário sem checar permissões, permitindo o controle total do site mesmo por usuários não registrados.

O código do plugin não exigia qualquer autenticação para concluir a ação, o que permitia que um invasor alterasse configurações, excluísse páginas e gerenciasse usuários com apenas três cliques.

A versão 4.0.27 do Eventin já foi publicada, corrigindo a falha ao adicionar checagem de permissões e restringir as funções disponíveis. A Patchstack recomenda que plugins sejam atualizados com frequência, sobretudo aqueles que interagem com dados sensíveis ou oferecem controle sobre o site.