A principal equipe de manutenção do WordPress lançou ontem a versão 6.0.2 desse sistema de gerenciamento de conteúdo, contendo patches para três vulnerabilidades, incluindo uma de SQLi com alta gravidade na funcionalidade Links, além de duas vulnerabilidades de script entre sites (XSS) de gravidade média. Na manhã de hoje, o CISO Advisor detectou uma tentativa de injeção de código desse tipo no portal de notícias.
Veja isso
Elementor corrige bug crítico no popular plugin para o WordPress
Kit de phishing usa PayPal para invadir sites do WordPress
Esses patches foram retroportados para todas as versões do WordPress desde a 3.7. A recomendação do grupo é verificar se o site foi atualizado automaticamente para uma das versões corrigidas. Versões corrigidas estão disponíveis para todas as versões principais do WordPress desde a versão 3.7. Caso o seu site não tenha sido atualizado automaticamente, é recomendada atualização manual.
A equipe concluiu que é improvável que essas vulnerabilidades sejam usadas para exploração, devido aos casos especiais necessários para isso. Com uma pontuação CVSS de 8.0, a falha de segurança requer privilégios administrativos e não é fácil de explorar nas configurações padrão, mas pode haver plugins ou temas que permitem que ela seja acionada por usuários com privilégios inferiores
Na maioria das circunstâncias, essas vulnerabilidades exigem privilégios elevados, como os de um administrador, ou a presença de um plug-in vulnerável ou malicioso. No entanto, o firewall Wordfence deve proteger a instalação contra quaisquer explorações que não exijam privilégios administrativos. Em quase todos os casos, os administradores já têm o nível máximo de acesso e os invasores com esse nível de acesso provavelmente não usarão explorações complicadas e difíceis.
A funcionalidade WordPress Link, anteriormente conhecida como “Bookmarks”, não está mais habilitada por padrão em novas instalações do WordPress. Sites mais antigos ainda podem ter a funcionalidade habilitada, o que significa que milhões de sites legados são potencialmente vulneráveis, mesmo que estejam executando versões mais recentes do WordPress.