Uma falha grave de segurança foi descoberta no plugin MailPoet Newsletters para WordPress. Através da vulnerabilidade, um atacante poderia assumir controle total do site e publicar arquivos maliciosos sem o conhecimento do proprietário.
O MailPoet Newsletters é uma solução para criação e envio de newsletters e já foi baixado 1,7 milhão de vezes no site oficial da plataforma. A falha foi descoberta pela empresa de segurança Sucuri e foi corrigida pela versão 2.6.7 do plugin, lançada nesta terça-feira.
De acordo com Daniel Cid, CEO da Sucuri, “este bug deve ser levado a sério; ele oferece ao potencial intruso o poder de fazer qualquer coisa que quiser com o site de sua vítima. Ele permite que qualquer arquivo PHP seja enviado para o servidor e assim o atacante pode usar o site afetado como isca de phishing, para enviar SPAM, hospedar malware, infectar outros clientes em um servidor compartilhado e mais”.
A vulnerabilidade foi removida pelo criador do plugin e a recomendação é que os usuários do MailPoet Newsletters atualizem suas versões imediatamente para a 2.6.7. A falha confiava na função admin_init() para liberar o uso de upload para os usuários, mas a permissão também era disparada em páginas que não pertenciam ao administrador. Para Daniel Cid, “se você é um desenvolvedor, nunca use admin_init() ou is_admin() como método de autenticação”.
Ainda não se sabe exatamente o número de websites afetados pela falha de segurança.
