Vulnerabilidade Crítica em Plugin do WordPress

Um pesquisador de segurança da empresa Acquia descobriu uma vulnerabilidade crítica que pode afetar mais de 400 mil sites hospedados no WordPress. A falha está na injeção de SQL não autenticada no Ally, um plugin para WordPress que funciona como uma ferramenta de acessibilidade.

O plugin Ally é uma ferramenta popular que ajuda criadores de sites a construir páginas mais inclusivas, com recursos como sugestões de inteligência artificial (IA) e um gerador automático de declarações de acessibilidade. No entanto, a falha na injeção de SQL pode permitir que hackers acessem sites vulneráveis e extraiam dados confidenciais.

Como a Falha Funciona

A vulnerabilidade crítica na injeção de SQL no plugin é derivada de uma verificação insegura na consulta de assinantes do Ally. O plugin usa um parâmetro de URL sem utilizar o “wpdb->prepare()”, uma função do WordPress que parametriza essas solicitações. Isso permite que criminosos injetem um SQL malicioso para danificar o processo legítimo e extrair informações confidenciais do banco de dados, como hashes de senhas.

Segundo a investigação da Acquia, a equipe de desenvolvedores do Ally foi notificada acerca da falha, que afeta todas as versões do plugin até a 4.0.3, e já divulgou uma correção na versão 4.1.0. A recomendação é que os usuários atualizem o sistema com urgência para evitar eventuais problemas.

• A falha afeta mais de 400 mil sites hospedados no WordPress.
• O plugin Ally é uma ferramenta popular para acessibilidade.
• A vulnerabilidade crítica pode permitir que hackers acessem sites vulneráveis e extraiam dados confidenciais.

É importante que os usuários do plugin Ally atualizem o sistema com urgência para evitar eventuais problemas. A segurança online é fundamental para proteger os dados confidenciais e evitar prejuízos para as vítimas.

Este conteúdo pode conter links de compra.

Fonte: link