Vulnerabilidade encontrada do WP Super Cache

Sem Comentários

wp-super-cache

Durante uma auditoria de rotina da Sucuri a mesma descobriu uma vulnerabilidade XSS perigosa que afeta o popular plugin para WordPress o WP-Super-Cache (mais de um milhão de instalações ativas de acordo com wordpress.org). A questão da segurança, bem como um outro de correção de bugs que foi incluído no patch original do problema, são corrigidos na versão 1.4.4.

Isso não significa que você esteja afetado. Ele está sendo compartilhado para ajudar a trazer a consciência para a vulnerabilidade e ajudar a tornar a web um lugar mais seguro através da distribuição de alertas de segurança importantes. Se você não usar este plugin ou conhece alguém que use, por favor, ajude a espalhar a notícia.

Quais são os riscos?

Usando esta vulnerabilidade, o invasor poderia inserir scripts maliciosos para página de listagem de arquivos em cache do plugin. A fim de ser apresentado, uma exploração bem sucedida exigiria do administrador do site uma verificação manual e minuciosa, manualmente.

Quando executado, os scripts injetados poderia ser usado para executar um monte de outras coisas como a adição de uma nova conta de administrador para o local, injetando backdoors usando o WordPress, temas, ferramentas de edição, etc.

Detalhes técnicos

O problema está ligado na forma como WP-Super-Cache exibe as informações armazenadas na chave do arquivo de cache, que é usado pelo plugin para decidir o arquivo de cache que deve ser carregado.

WP-Super-Cache-Details-Key

Leia mais diretamente no blog da Sucuri.

Rayonni Teixeira - Gerente de Contas & Suporte Sênior III

Arquivos

 

Deixe uma resposta

Vamos ler mais?

Ver mais artigos