TheCartPress, um plugin de e-commerce usado em milhares de sites baseados em WordPress, possui várias falhas de segurança de alto risco.
Até o momento, não há correções disponíveis para as falhas e, segundo o desenvolvedor do plugin, o suporte para ele será descontinuado em 1º de junho.
As vulnerabilidades podem permitir que atacantes “executem código arbitrário PHP, revelem dados sensíveis e executem ataques XSS contra usuários do WordPress por meio do plugin”, afirmaram pesquisadores da empresa de segurança High-Tech Bridge.
Há fatores que limitam a exploração de algumas falhas, mas eles representam um risco significativo.
Por exemplo, explorar a vulnerabilidade que permite execução de código PHP requer que o atacante tenha privilégios administrativos no site WordPress. No entanto, um criminosos também poderia enganar o real administrador para executar o exploit ao visitar uma página maliciosa, segundo os pesquisadores da empresa de tecnologia. Isso é conhecido como ataque cross-site request forgery (CSRF).
Outra falha permite que pessoas não autenticadas naveguem por pedidos dos usuários do site de e-commerce realizados com o plugin.
Também há vários problemas com XSS, no painel administrativo e nas páginas acessíveis para usuários. Essas falhas poderiam permitir que criminosos enganassem usuários do site, levando-os a executarem ações desonestas ao clicarem em URLS especificamente fabricadas. Ataques XSS em que a vítima é o administrador do site, obviamente, levam a maiores riscos.
Os pesquisadores da empresa de segurança alegam que tentaram notificar o desenvolvedor do plugin sobre as falhas desde o dia 8 de abril, mas não tiveram sucesso. Eles destacaram que o desenvolvedor já anunciou que o suporte para o TheCartPress será encerrado em 1º de junho.
Como não está claro se as falhas serão corrigidas, os pesquisadores recomendam que os usuários desabilitem ou removam o plugin. Segundo estatísticas do repositório oficial do plugin no WordPress, o TheCartPress possui atualmente mais de 5 mil instalações.
Com informações de IT World