Os usuários do WordPress precisam ficar atentos a possíveis ataques hackers. Conforme relata o The Hack News, foi descoberta uma vulnerabilidade na plataforma que permite que invasores tenham o acesso e controle total de sites.
A falha de “exclusão arbitrária de arquivos autenticados” foi descoberta e relatada há sete meses pelos pesquisadores de segurança da RIPS Technologies GmbH, mas, aparentemente, a equipe do WordPress não preparou nenhuma correção.
A vulnerabilidade, que afeta todas as versões do software, incluindo a atual 4.9.6, é executada em segundo plano quando um usuário exclui permanentemente a miniatura de uma imagem enviada. A função abre espaço para que usuários com privilégios limitados de autor excluam qualquer arquivo hospedado, que só deveria ser permitido aos administradores do site ou do servidor.
Os pesquisadores afirmam que usando essa falha, um cibercriminoso pode excluir arquivos críticos, como o “.htaccess” do servidor, que geralmente contém configurações relacionadas à segurança.
Além disso, caso seja excluído o “wp-config.php”, um arquivo que contém informações de conexão de banco de dados, é possível forçar todo o site de volta à tela de instalação, permitindo que o invasor reconfigure o site e assuma o controle completamente.
“Além da possibilidade de apagar toda a instalação do WordPress, que pode ter consequências desastrosas se nenhum backup atual estiver disponível, um invasor pode usar a capacidade de exclusão arbitrária de arquivos para burlar algumas medidas de segurança e executar código no servidor web”, explicam os especialistas.
Tags: