Descobertas vulnerabilidades críticas em plug-in utilizado por milhares de sites WordPress

As vulnerabilidades, designadas como CVE-2024-10542 e CVE-2024-10781, possuem uma pontuação de 9,8 na escala CVSS, o que indica gravidade extrema. Segundo a Defiant, as falhas permitem que invasores remotos, sem necessidade de autenticação, executem código arbitrário, instalem e ativem plug-ins vulneráveis que podem ser explorados para comprometer sistemas.

A falha CVE-2024-10542 decorre de um desvio de autorização na função que gere chamadas remotas e a instalação de plug-ins. Invocando vulnerabilidades de falsificação de IP e DNS, os atacantes podem simular origens confiáveis para contornar verificações de segurança e executar ações como instalação e ativação de componentes potencialmente maliciosos.

Apesar de a falha ter sido corrigida na versão 6.44 do plug-in, lançada em 1 de novembro, essa versão também revelou vulnerabilidades relacionadas ao CVE-2024-10781. Esta vulnerabilidade permite que invasores utilizem tokens de autenticação inválidos para contornar medidas de segurança, especialmente em sites que não configuraram uma chave de API. Ao explorar essa brecha, os cibercriminosos podem ativar plug-ins comprometidos, resultando em execução remota de código (RCE). A versão 6.45, lançada a 14 de novembro, inclui correções para ambas as vulnerabilidades, reforçando a proteção do plug-in.

No entanto, dados do WordPress indicam que, até 26 de novembro, cerca de metade das instalações ativas ainda não atualizaram para a versão corrigida. Especialistas recomendam que os administradores de sites atualizem de modo a evitar riscos de exploração.