Threats
Dois plugins do MiniOrange que já forma descontinuados colocam milhares de sites do WordPress em risco de takeover
18/03/2024
Milhares de sites alojados em WordPress estão em potencial risco de takeover por causa de uma vulnerabilidade crítica em dois plugins de segurança da MiniOrange que foram descontinuados recentemente. Os plugins – Malware Scanner e Web Application Firewall – da MiniOrange foram encerrados a 7 de março, dois dias depois das vulnerabilidades serem reportadas. A vulnerabilidade CVE-2024-2172 existe por causa de um capability check em falta numa função em ambos os plugins, o que permite que um atacante não autenticado aumente os seus privilégios para administrador. Uma vez que não é feita uma validação de autenticação e password na tentativa de alterar a palavra-passe do utilizador, um atacante não autenticado pode atualizar a password de qualquer utilizador, desde que forneçam um nome de utilizador válido. Quando foi descontinuado, o Malware Scanner tinha mais de dez mil instalações ativas, enquanto o Web Application Firewall tinha mais de 300. Tendo em conta que os plugins foram descontinuados, quem instalou deverá retirar os plugins o mais depressa possível. |