Uma falha de segurança detectada em um plugin do WordPress pode comprometer mais de 200 mil sites. O bug foi encontrado em um dos temas comerciais da plataforma, fornecido pela ThemeGrill, e possibilita que hackers apaguem todo o conteúdo das páginas afetadas.
A vulnerabilidade está no plugin ThemeGrill Demo Importer. A empresa de segurança WebARX recomenda que todos os administradores atualizem os plugins que vêm instalados com os temas relacionados, a fim de corrigir o erro crítico.
O plugin, instalado em mais de 200 mil sites, permite que os proprietários da página importem conteúdo de demonstração dentro dos temas do ThemeGrill, para que tenham exemplos e um ponto de partida no qual possam criar seus próprios sites. No entanto, a WebARX diz que as versões mais antigas do ThemeGrill Demo Importer são vulneráveis ââa ataques remotos de invasores não autenticados.
Os hackers podem enviar uma carga útil especialmente criada para sites vulneráveis ââe acionar uma função dentro do plug-in, que redefine o conteúdo do site para zero. A ação limpa o conteúdo de todos os sites do WordPress em que um tema ThemeGrill está ativo e o plugin vulnerável está instalado.
Além disso, se o banco de dados do site contiver um usuário chamado “admin”, o invasor terá acesso a esse usuário com direitos totais de administrador sobre o site. O WebARX diz que a vulnerabilidade afeta todas as versões do plugin ThemeGrill Demo Importer entre a versão 1.3.4 e 1.6.1. ThemeGrill, o desenvolvedor do plugin, corrigiu o erro e lançou a versão 1.6.2 no fim de semana.
Via: ZDNet