Vulnerabilidade grave no plugin Loginizer foi corrigida pela WordPress

Vulnerabilidade grave no plugin Loginizer foi corrigida pela WordPress
Tempo de leitura: 2 minutos

O WordPress lançou uma atualização automática que corrige uma vulnerabilidade grave no Loginizer, um plug-in popular do WordPress que oferece vários recursos de segurança nos sites em que é instalado. Trata-se de uma vulnerabilidade de injeção de SQL que poderia ter permitido que um atacante assumisse controle de sites que usam uma versão desatualizada do plug-in.

Desta vez, o patch foi lançado pelo WordPress.org, que forçou a atualização para a versão 1.6.4 do plug-in, sendo uma prática nada comum por parte da plataforma atualmente. Há muitos anos, esse processo era usado para corrigir vulnerabilidades graves. Na verdade, de acordo com o portal ZDNet, essa é uma das piores falhas de segurança descobertas nos plugins do WordPress nos últimos anos.

O Loginizer é um plug-in que oferece proteção contra ataques de força bruta em sites, bloqueando o acesso a um determinado IP após um número máximo de tentativas de login. Além disso, oferece outros recursos, como adicionar suporte para autenticação de dois fatores ou adicionar CAPTCHAs simples para bloquear tentativas de login automatizado, entre outros. Atualmente, o loginizer conta com uma base de instalação de mais de um milhão de sites em WordPress.

A descoberta dessa vulnerabilidade é fruto do trabalho do pesquisador Slavco Mihajloski, que divulgou os detalhes da falha. O banco de dados de vulnerabilidades no WordPress, WPScan, publicou informações sobre a vulnerabilidade e explica que a falha está no recurso de proteção contra ataques de força bruta que é habilitado por padrão assim que o plug-in é instalado. Para explorar a falha, um atacante pode tentar fazer login em um site WordPress usando um nome de usuário inválido, que é registrado no banco de dados back-end junto com outros parâmetros, mas sem ser devidamente validado em instruções SQL, o que permite ao atacante executar um ataque de injeção de SQL para escapar da autenticação.

Este ano, várias vulnerabilidades foram descobertas nos plugins para WordPress, como a vulnerabilidade crítica no plugin ThemeGrill Demo Importer, a falha no plugin do Facebook Chat para sites WordPress ou, mais recentemente, a vulnerabilidade zero-day no plugin File Manager que recebeu várias tentativas de ataque.

Comentar via Facebook

Related Posts