Plugins mais usados do WordPress estão vulneráveis a ataque XSS

Muitos plugins do WordPress foram atualizados recentemente para corrigir as vulnerabilidades que permitem que os atacantes injetem comandos potencialmente perigosos para os navegadores das pessoas que visitam sites confiáveis. Administradores responsáveis ​​por sites com WordPress devem certificar se as correções estão instaladas o mais rápido possível.

Estas vulnerabilidades de cross-site scripting (XSS) permitem que hackers injetem códigos maliciosos que geram novas URLs. Estas URLs podem ser exploradas para roubar cookies de autenticação altamente sensíveis, que dão aos usuários acesso às suas contas pessoais sem ter que digitar uma senha. Ataques XSS podem também alterar o conteúdo dentro de uma página Web vulnerável. Junto com os exploits de injeção SQL, ataques XSS estão entre a classe mais comum de ataques na Internet.

Nos últimos dias, mais de uma dúzia de plugins WordPress foi atualizada para corrigir vulnerabilidades XSS. De acordo com um comunicado publicado pela empresa de segurança de aplicativos Web Sucuri , são eles:

• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Multiple Plugins from Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Multiple iThemes products including Builder and Exchange
• Broken-Link-Checker
• Ninja Forms

Estes vulnerabilidades apareceram devido aos desenvolvedores abusarem de duas funções de programação amplamente usadas para modificar ou adicionar seqüências de consulta para URLs, especificamente add_query_arg () e remove_query_arg ().  A equipe de desenvolvedores do WordPress publicou aqui uma orientação de como obter o mesmo resultado, mas de maneira segura.

Os plugins listados acima foram atualizados como parte de uma resposta coordenada na sequência de um alarme de segurança da semana passada, que trouxe o conhecimento da falha para o público em geral.

É provável que plugins adicionais do WordPress continuem vulneráveis. Se você administra um site WordPress, você deve analisar todos os plugins utilizados em seu site para se certificar de que eles não são suscetíveis aos mesmos tipos de ataques.

Este artigo foi lido 3879 vezes!