Uma falha de segurança detectada em um plugin do WordPress pode comprometer mais de 200 mil sites. O bug foi encontrado em um dos temas comerciais da plataforma, fornecido pela ThemeGrill, e possibilita que hackers apaguem todo o conteúdo das páginas afetadas.

A vulnerabilidade está no plugin ThemeGrill Demo Importer. A empresa de segurança WebARX recomenda que todos os administradores atualizem os plugins que vêm instalados com os temas relacionados, a fim de corrigir o erro crítico.

O plugin, instalado em mais de 200 mil sites, permite que os proprietários da página importem conteúdo de demonstração dentro dos temas do ThemeGrill, para que tenham exemplos e um ponto de partida no qual possam criar seus próprios sites. No entanto, a WebARX diz que as versões mais antigas do ThemeGrill Demo Importer são vulneráveis ​​a ataques remotos de invasores não autenticados.

Os hackers podem enviar uma carga útil especialmente criada para sites vulneráveis ​​e acionar uma função dentro do plug-in, que redefine o conteúdo do site para zero. A ação limpa o conteúdo de todos os sites do WordPress em que um tema ThemeGrill está ativo e o plugin vulnerável está instalado.

Além disso, se o banco de dados do site contiver um usuário chamado “admin”, o invasor terá acesso a esse usuário com direitos totais de administrador sobre o site. O WebARX diz que a vulnerabilidade afeta todas as versões do plugin ThemeGrill Demo Importer entre a versão 1.3.4 e 1.6.1. ThemeGrill, o desenvolvedor do plugin, corrigiu o erro e lançou a versão 1.6.2 no fim de semana.

Via: ZDNet