Administradores do WordPress estão enfrentando uma urgência: remover os plugins Malware Scanner e Web Application Firewall da miniOrange de seus sites. Essa ação se deve à descoberta de uma falha de segurança considerada crítica, identificada como CVE-2024-2172. Essa vulnerabilidade recebeu uma pontuação elevada de 9,8 em 10 no sistema de pontuação CVSS.

Plugins permanentemente fechados

É crucial destacar que os desenvolvedores dos plugins optaram por encerrá-los permanentemente em 7 de março de 2024. Apesar dessa medida, os danos potenciais são significativos, especialmente considerando o número de instalações ativas. O Malware Scanner, por exemplo, é utilizado em mais de 10.000 sites, enquanto o Web Application Firewall está presente em mais de 300.

Brecha na segurança

De acordo com relatórios da Wordfence na semana passada, a falha permite que invasores sem autenticação obtenham privilégios administrativos. O método de exploração envolve a capacidade de um atacante alterar a senha de um usuário, concedendo assim acesso privilegiado ao site.

Outra preocupação com a segurança

Essa descoberta surge em um momento preocupante, já que a empresa de segurança do WordPress também emitiu um alerta sobre outra vulnerabilidade. Desta vez, trata-se de uma falha de escalonamento de privilégios de alta gravidade no plugin RegistrationMagic, rastreada como CVE-2024-1991, com uma pontuação CVSS de 8,8.

Ação imediata necessária

Dada a seriedade dessas ameaças, é fundamental que os administradores do WordPress ajam prontamente. Remover os plugins afetados e atualizar para versões seguras é uma prioridade para mitigar os riscos de exploração por parte de invasores mal-intencionados. O rápido reconhecimento e resposta a essas vulnerabilidades são essenciais para garantir a segurança contínua dos sites WordPress.

Fonte: BoletimSec

Saiba como  Seguro Cyber pode ajudar na proteção contra ataques cibernéticos: