A revelação de uma lacuna crítica de segurança dentro do Plugin WordPress amplamente implantado, Membro Final, enviou ondas de choque através da comunidade online. Rastreado como CVE-2024-1071 e descoberto pelo pesquisador de segurança Christiaan Swiers, esta vulnerabilidade tem uma pontuação CVSS impressionante de 9.8 fora de 10.
Visão geral técnica do CVE-2024-1071
A vulnerabilidade está nas versões 2.1.3 para 2.8.2 de Ultimate Member e decorre de uma Falha de injeção SQL associado à 'classificação’ parâmetro. Os invasores podem explorar essa fraqueza para injetar consultas SQL maliciosas, aproveitando mecanismos de escape insuficientes e preparação de consulta inadequada. Notavelmente, esta vulnerabilidade afeta usuários que optaram pelo “Habilitar tabela personalizada para usermeta” opção nas configurações do plugin.
As ramificações do CVE-2024-1071 não devem ser subestimadas. Atores de ameaças não autorizados podem explorar a falha para se infiltrar em sites, manipular o conteúdo do banco de dados, e potencialmente extrair dados confidenciais. O risco inerente representado por ataques de injeção de SQL não autenticados mostra a urgência de medidas imediatas de mitigação.
Versão 2.8.3 do Ultimate Member contém o patch
Em resposta à divulgação responsável, os desenvolvedores do plugin lançaram rapidamente um patch na versão 2.8.3 do Ultimate Member em fevereiro 19. É imperativo que os usuários atualizem imediatamente seus plug-ins para a versão mais recente para proteger seus sites de exploração potencial.. Wordfence, uma empresa de segurança WordPress, já interceptou uma tentativa de ataque dentro 24 horas da divulgação da vulnerabilidade, destacando a ameaça iminente.
Contudo, esta vulnerabilidade não é um incidente isolado. Faz parte de uma tendência mais ampla de vulnerabilidades direcionadas a sites WordPress. Os atores da ameaça já exploraram vulnerabilidades semelhantes, tal como CVE-2023-3460, para orquestrar atividades maliciosas, incluindo a criação de usuários administradores desonestos.
Outras campanhas maliciosas contra sites WordPress
Uma nova campanha que aproveita sites WordPress comprometidos para injetar drenadores de criptografia também surgiu à solta. A campanha capitaliza a dependência do ecossistema Web3 em interações diretas com carteiras, representando riscos significativos tanto para os proprietários de sites quanto para os ativos dos usuários.
Esquemas sofisticados, como o escorredor como serviço (DaaS) esquema apelidado de CG (CryptoGrab) também estão em alta. Este esquema opera um programa de afiliados em grande escala, facilitando operações fraudulentas com eficiência alarmante.