Pesquisadores da empresa Sucuri encontraram duas falhas no plug-in chamado “All in One SEO Pack”, as quais permitem que crackers com acesso a contas WordPress não-administrativas elevem seus privilégios e injetem códigos maliciosos no painel de administração.
“Se o seu site possui assinantes, autores e usuários não-administradores que logam no wp-admin, você pode estar em risco”, disseram os pesquisadores da Sucuri no sábado (31), em um post no blog da empresa. “Se você tem um registro aberto, você está em risco, então você deve atualizar o plugin agora.”
O plug-in “All in One SEO Pack” otimiza automaticamente o conteúdo do WordPress para uma indexação mais eficiente em ferramentas de pesquisas, afim de alcançar uma melhor classificação nos resultados de buscas. De acordo com estatísticas oficiais do WordPress, o plug-in já foi baixado mais de 18,5 milhões vezes até o momento.
Problemas
Uma das duas falhas descobertas pela Sucuri pode ser explorada por um usuário comum, como um autor ou um assinante, para modificar o título SEO de uma postagem, descrição e meta tags de palavras-chave criadas pelo plug-in. Se usado de forma maliciosa, isso pode resultar em danos nos resultados de pesquisa de um site.
No entanto, a vulnerabilidade também pode ser combinada com uma segunda falha para injetar um código JavaScript malicioso no painel de controle do administrador, que seria executado quando a página é carregada.
Isto significa que um atacante poderia fazer coisas como alterar a senha da conta do administrador ou inserir um código backdoor para os arquivos do site a fim de possibilitar a realização de outras atividades maliciosas em um momento posterior, disseram os pesquisadores da Sucuri.
Administradores de sites no WordPress devem atualizar o plug-in “All in One SEO Pack” para a versão 2.1.6, que foi lançado domingo, no repositório de add-ons do WordPress. Uma atualização também pode ser executada a partir do painel de administração do plug-in.
Sites no WordPress tem sido um alvo popular entre cibercriminosos ao longo dos anos e também vulnerabilidades em componentes de terceiros, como plug-ins ou temas, já foram explorados no passado.
Uma vulnerabilidade crítica encontrada em 2011 em um script de redimensionamento de imagem chamado “TimThumb”, parte integrante de muitos temas WordPress, foi alvo de ataques por mais de um ano.