A revelação de uma lacuna crítica de segurança dentro do Plugin WordPress amplamente implantado, Membro Final, enviou ondas de choque através da comunidade online. Rastreado como CVE-2024-1071 e descoberto pelo pesquisador de segurança Christiaan Swiers, esta vulnerabilidade tem uma pontuação CVSS impressionante de 9.8 fora de 10.
Visão geral técnica do CVE-2024-1071
A vulnerabilidade está nas versões 2.1.3 para 2.8.2 de Ultimate Member e decorre de uma Falha de injeção SQL associado à 'classificação’ parâmetro. Os invasores podem explorar essa fraqueza para injetar consultas SQL maliciosas, aproveitando mecanismos de escape insuficientes e preparação de consulta inadequada. Notavelmente, esta vulnerabilidade afeta usuários que optaram pelo “Habilitar tabela personalizada para usermeta” opção nas configurações do plugin.
As ramificações do CVE-2024-1071 não devem ser subestimadas. Atores de ameaças não autorizados podem explorar a falha para se infiltrar em sites, manipular o conteúdo do banco de dados, e potencialmente extrair dados confidenciais. O risco inerente representado por ataques de injeção de SQL não autenticados mostra a urgência de medidas imediatas de mitigação.
Versão 2.8.3 do Ultimate Member contém o patch
Em resposta à divulgação responsável, os desenvolvedores do plugin lançaram rapidamente um patch na versão 2.8.3 do Ultimate Member em fevereiro 19. É imperativo que os usuários atualizem imediatamente seus plug-ins para a versão mais recente para proteger seus sites de exploração potencial.. Wordfence, uma empresa de segurança WordPress, já interceptou uma tentativa de ataque dentro 24 horas da divulgação da vulnerabilidade, destacando a ameaça iminente.
Contudo, esta vulnerabilidade não é um incidente isolado. Faz parte de uma tendência mais ampla de vulnerabilidades direcionadas a sites WordPress. Os atores da ameaça já exploraram vulnerabilidades semelhantes, tal como CVE-2023-3460, para orquestrar atividades maliciosas, incluindo a criação de usuários administradores desonestos.
Outras campanhas maliciosas contra sites WordPress
Uma nova campanha que aproveita sites WordPress comprometidos para injetar drenadores de criptografia também surgiu à solta. A campanha capitaliza a dependência do ecossistema Web3 em interações diretas com carteiras, representando riscos significativos tanto para os proprietários de sites quanto para os ativos dos usuários.
Esquemas sofisticados, como o escorredor como serviço (DaaS) esquema apelidado de CG (CryptoGrab) também estão em alta. Este esquema opera um programa de afiliados em grande escala, facilitando operações fraudulentas com eficiência alarmante.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: