Risco para 2 milhões de sites WordPress

Facebook
Pinterest
Twitter
LinkedIn

 

Uma vulnerabilidade do plugin Rank Math afeta mais de 2 milhões de sites WordPress. A falha, identificada como vulnerabilidade Stored Cross-Site Scripting (XSS) ou CVE-2024-2536, representa um risco sério, pois pode permitir que atores mal-intencionados injetem e executem scripts prejudiciais, deixando dados confidenciais expostos ao comprometimento.

Rank Math, um plugin sofisticado para sites WordPress, há muito é preferido por usuários que buscam agilizar seus esforços de SEO sem fazer malabarismos com vários plugins. Para mitigar a falha, os desenvolvedores por trás do plugin lançaram patches de segurança para mitigar a vulnerabilidade.

Vulnerabilidade do plug-in Rank Math explicada

Fonte: Wordfence

De acordo com pesquisadores de segurança do Wordfence, vulnerabilidade do plugin Rank Math, descoberta pelo pesquisador Ngo Thien An (ancorn_)foi atribuído ao manuseio de atributos do plugin dentro do bloco HowTo, predominante em todas as versões até 1.0.214 inclusive.

Essa supervisão na higienização de entrada e no escape de saída torna invasores autenticados, com acesso de nível de contribuidor ou superior, capazes de implantar scripts web arbitrários. Conseqüentemente, esses scripts podem ser executados sempre que um usuário acessa a página afetada, comprometendo potencialmente as sessões do usuário e dados confidenciais.

“O plugin Rank Math SEO com AI SEO Tools para WordPress é vulnerável a scripts entre sites armazenados por meio dos atributos do bloco HowTo em todas as versões até 1.0.214 inclusive devido à limpeza de entrada insuficiente e escape de saída em atributos fornecidos pelo usuário” , disse Cerca de palavras.

O que é vulnerabilidade de script entre sites armazenados (XSS)?

Vulnerabilidades XSS armazenadas como essa permitem que invasores carreguem scripts maliciosos, levando a ataques baseados em navegador que podem resultar no roubo de cookies de sessão, permitindo assim o acesso não autorizado a sites e a exfiltração de informações críticas.

A causa raiz desta vulnerabilidade está na limpeza insuficiente de entrada e no escape de saída, armadilhas comuns no desenvolvimento de plug-ins que permitem a manifestação de vulnerabilidades XSS, especialmente em áreas onde os usuários têm permissão para fazer upload ou inserir dados.

“Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, injetem scripts web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada”, acrescentou Wordfence.

A higienização de entrada envolve a filtragem de entradas indesejáveis, como scripts ou HTML, garantindo que apenas as entradas de texto esperadas sejam processadas. O escape de saída, por outro lado, verifica a saída do site para evitar que scripts maliciosos cheguem ao navegador do site.

Felizmente, o Rank Math resolveu prontamente esse problema lançando patches para corrigir a vulnerabilidade. Os administradores de sites são fortemente incentivados a atualizar seu plugin Rank Math SEO para a versão mais recente sem demora para proteger a postura de segurança de seus sites.

Isenção de responsabilidade da mídia: Este relatório é baseado em pesquisas internas e externas obtidas por diversos meios. As informações fornecidas são apenas para fins de referência e os usuários assumem total responsabilidade por confiar nelas. A Cyber ​​Express não assume qualquer responsabilidade pela exatidão ou consequências do uso destas informações.

Fonte: / thecyberexpress.com

Picture of QG Criativo
QG Criativo

Agência de Marketing Digital

Outros Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.