O WordPress corrigiu recentemente três grandes vulnerabilidades de segurança em sua última atualização. As falhas podem permitir scripts entre sites e injeções de SQL, e uma série de outras questões subsequentes. As correções afetaram as versões do WordPress 4.7.1 e anteriores. Aplicando o atualizar o mais rápido possível ainda é altamente recomendado.
Contudo, sabe-se agora que, além dos problemas de segurança que acabamos de mencionar, a plataforma corrigiu uma vulnerabilidade de dia zero perigosa e então secreta que poderia levar ao acesso remoto e à exclusão de páginas do WordPress. A razão pela qual eles não anunciaram publicamente o dia zero é que eles não queriam atrair hackers para explorá-lo. Então eles disseram.
Dia zero no WordPress 4.7 e 4.7.1 Explicado: Vulnerabilidade de escalonamento de privilégio não autenticado em um terminal de API REST
O bug permitiu que todas as páginas em sites vulneráveis fossem modificadas. Além disso, os visitantes poderiam ter sido redirecionados para sites maliciosos, levando a mais complicações relacionadas à segurança. O WordPress adiou o anúncio público por uma semana e agora está pedindo a todos os envolvidos que atualizem.
relacionado: TeslaCrypt Atualmente Propagação via comprometida Páginas WordPress e EK Nuclear
Em uma postagem adicional, WordPress escreveu:
Além das três vulnerabilidades de segurança mencionadas na postagem de lançamento original, WordPress 4.7 e 4.7.1 tinha uma vulnerabilidade adicional para a qual a divulgação foi atrasada. Havia uma vulnerabilidade de escalonamento de privilégio não autenticado em um endpoint da API REST. Versões anteriores do WordPress, mesmo com o REST API Plugin, nunca foram vulneráveis a isso.
O dia zero foi relatado em 20 de janeiro pela empresa de segurança Sucuri, mais particularmente o pesquisador Marc-Alexandre Montpas. Felizmente, nenhum invasor explorou o bug, e uma correção foi preparada logo após ser relatada. Não obstante, O WordPress testou o problema mais detalhadamente, pois parecia ser bastante sério.
Por outro lado, A Sucuri adicionou novas regras ao seu firewall de aplicativo da Web para que as tentativas de exploração fossem bloqueadas. Outras empresas foram contatadas, também, para criar regras semelhantes para proteger os usuários de ataques antes que a atualização fosse finalizada.
Juices escreveu:
Na segunda-feira, enquanto continuamos a testar e refinar a correção, nosso foco mudou para hosts WordPress. Entramos em contato com eles em particular com informações sobre a vulnerabilidade e maneiras de proteger os usuários. Os hosts trabalharam em conjunto com a equipe de segurança para implementar proteções e verificaram regularmente as tentativas de exploração contra seus usuários.
relacionado: Roteadores Netgear vulnerável a ataques de acesso remoto
afinal, a atualização estava pronta quinta-feira passada. Também é importante observar que os usuários do WordPress 4.7.x foram protegidos rapidamente por meio do sistema de atualização automática. Contudo, os usuários que não atualizam o WordPress automaticamente precisam fazer isso sozinhos antes que seja tarde demais.