Categorias

Falha de segurança em plugin do WordPress vaza dados privados

Perigo no WordPress!
O pesquisador de segurança Jason A. Donenfeld encontrou uma falha grave no plugin do WordPress W3 Total Cache. Qualquer um usando pouco mais do que uma busca no Google pode encontrar informações privadas de sites e blogs que fazem uso do plugin.

O plugin W3 Total Cache é um dos mais populares complementos da plataforma WordPress. Segundo dados oficiais, ele já foi baixado 1,39 milhão de vezes e é utilizado em sites famosos como Mashable, Locker Gnome e Smashing Magazine. O plugin acelera o carregamento de sites ou blogs ao armazenar um cache do conteúdo dinâmico.

De acordo com Donenfeld, o problema estaria justamente no armazenamento em cache. Configurações padrões do plugin deixariam expostas informações sensíveis, incluindo hashes de senhas, conteúdo protegido e outros dados que poderiam ser encontrados com uma busca simples no Google. O W3 Total Cache também habilitaria por padrão a listagem automática de conteúdo de diretórios.

O pesquisador entrou em contato com a W3 Edge, empresa responsável pelo plugin, para alertar sobre as configurações que deixariam o complemento vulnerável. Ainda que não tenha sido divulgada uma resposta oficial dos desenvolvedores, Donenfeld afirma que eles garantiram que todos os problemas serão corrigidos na próxima atualização.