Falha de SQL injection em plugin ameaça mais de 400 mil sites no WordPress

Um pesquisador de segurança da empresa Acquia descobriu uma vulnerabilidade crítica que pode afetar mais de 400 mil sites hospedados no WordPress.

• Hackers exploram falha em plugin do WordPress para acessar sites vulneráveis
• Plugin popular do WordPress permite que hackers invadam 50.000 sites como admin

A falha está na injeção de SQL não autenticada no Ally, um plugin para WordPress que funciona como uma ferramenta de acessibilidade que ajuda criadores de sites a construir páginas mais inclusivas. O recurso ainda conta com sugestões de inteligência artificial (IA) e um gerador automático de declarações de acessibilidade, sendo aplicado em milhares de sites na plataforma. 

O grande problema por trás do caso é a possibilidade da extração de dados feita por agentes maliciosos com a exploração da falha, uma ação que pode causar diversos prejuízos para as vítimas.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Plugin ameaçado

Detectada em fevereiro, a vulnerabilidade crítica na injeção de SQL no plugin é derivada de uma verificação insegura na consulta de assinantes do Ally. Na prática, o plugin usa um parâmetro de URL sem utilizar o “wpdb->prepare()”, uma função do WordPress que parametriza essas solicitações.

Dessa forma, é possível que criminosos injetem um SQL malicioso para danificar o processo legítimo. O objetivo é extrair, de maneira gradual, informações confidenciais do banco de dados, como hashes de senhas.

Segundo a investigação da Acquia, a equipe de desenvolvedores do Ally foi notificada acerca da falha, que afeta todas as versões do plugin até a 4.0.3, e já divulgou uma correção na versão 4.1.0. A recomendação é que os usuários atualizem o sistema com urgência para evitar eventuais problemas.

Leia a matéria no Canaltech.