Se por algum motivo o seu site baseado em WordPress ainda não tiver sido atualizado automaticamente para a versão mais recente 5.1.1, é altamente recomendável atualizá-lo imediatamente antes que os hackers possam aproveitar uma vulnerabilidade recém-divulgada para invadir seu site.
Simon Scannell, pesquisador da RIPS Technologies GmbH, que anteriormente relatou várias vulnerabilidades críticas no WordPress, mais uma vez descobriu uma nova falha no software de gerenciamento de conteúdo (CMS) que poderia levar a ataques de execução remota de código.
A falha decorre de um problema de falsificação de solicitação entre sites (CSRF) na seção de comentários do WordPress, um de seus principais componentes que vem ativado por padrão e afeta todas as instalações do WordPress anteriores à versão 5.1.1. Ao contrário da maioria dos ataques anteriores documentados contra o WordPress, esse novo exploit permite que até mesmo um “invasor remoto não autenticado” comprometa e obtenha execução remota de código nos sites vulneráveis do WordPress.
“Considerando que os comentários são uma característica central dos blogs e estão ativados por padrão, a vulnerabilidade afetou milhões de sites”, diz Scannell.
A exploração demonstrada pelo Scannell depende de vários problemas, incluindo:
- O WordPress não usa a validação do CSRF quando um usuário publica um novo comentário, permitindo que os invasores postem comentários em nome de um administrador.
- Os comentários postados por uma conta de administrador não são higienizados e podem incluir tags HTML arbitrárias, até mesmo tags SCRIPT.
- O frontend do WordPress não é protegido pelo cabeçalho X–Frame–Options, permitindo que os invasores abram o site do WordPress em um iFrame oculto a partir de um site controlado pelo invasor.
Combinando todos esses problemas, um invasor pode injetar silenciosamente uma carga XSS armazenada no site de destino apenas enganando um administrador conectado para visitar um site mal-intencionado contendo o código de exploração.
De acordo com o pesquisador, o invasor pode até mesmo controlar remotamente os sites WordPress alvo injetando uma carga XSS que pode modificar o modelo do WordPress diretamente para incluir um backdoor PHP malicioso – tudo em uma única etapa sem que o administrador perceba.
Depois que a Scannell reportou essa vulnerabilidade em outubro do ano passado, a equipe do WordPress tenta atenuar o problema introduzindo um nonce adicional para administradores no formulário de comentários, em vez de simplesmente ativar a proteção contra CSRF.
No entanto, Scannell também foi capaz de contornar isso, após o que a equipe CMS finalmente lançou o WordPress 5.1.1 com um patch estável na quarta-feira.
Como o WordPress instala automaticamente as atualizações de segurança por padrão, você já deve estar executando a versão mais recente do software de gerenciamento de conteúdo.
No entanto, se a atualização automática do seu CMS tiver sido desativada, é recomendável desativar temporariamente os comentários e sair da sua sessão de administrador até que o patch de segurança seja instalado.