Esta não tem sido uma boa semana para a Wix: depois de ser acusada de roubar código do WordPress, um pesquisador de segurança descobriu uma vulnerabilidade crítica na plataforma.
A falha é tão grave que a simples adição de um parâmetro a um endereço permitiria carregar um script hospedado remotamente que poderia ser utilizado para assumir o controle administrativo do site afetado.
Com 87 milhões de usuários registrados, o número de vítimas potenciais é imenso. Segundo o engenheiro Matt Austin, da Contrast Security, a vulnerabilidade do tipo DOM XSS é bastante fácil de ser explorada. Basta ao invasor adicionar um comando de redirecionamento na barra de endereços do navegador em qualquer site hospedado na plataforma Wix, chamando e executando um arquivo JavaScript como se pertencesse ao mesmo domínio do alvo, permitindo acesso ao painel administrativo.
Austin afirma ter tentado entrar em contato com a equipe de segurança da Wix desde 10 de Outubro, sem sucesso, para avisar sobre a vulnerabilidade. Diante da gravidade da situação, decidiu publicar o que encontrou para alertar os usuários e provocar uma reação dos administradores da plataforma.
Aparentemente, a estratégia deu certo. Horas depois do incidente ser noticiado na mídia especializada, a Wix emitiu um comunicado onde afirma que “leva a segurança de nossos usuários muito a sério” e que “após cuidadoso exame nós podemos afirmar que a questão foi resolvida”. Até o momento, não há indícios de que a vulnerabilidade tenha sido explorada por cibercriminosos.
