Outro Plugin do WordPress apresenta uma séria vulnerabilidade que afeta milhares de sites.
Desta vez, a vulnerabilidade apareceu no Plugin MapPress Maps para WordPress.
Pesquisadores da Alert Logic encontraram uma séria vulnerabilidade no Plugin MapPress Maps para WordPress.
Atualmente, o Plugin possui mais de 80.000 mil instalações, a vulnerabilidade também colocou esses milhares de sites em risco.
Revelando os detalhes em uma postagem no blog, os pesquisadores afirmaram que encontraram um Bug de escalação de privilégios no Plugin.
Na exploração, a vulnerabilidade pode permitir que um invasor se intrometa nos arquivos PHP e até mesmo execute códigos remotamente.
Conforme declarado no post, Essa vulnerabilidade permite que um invasor com privilégios de assinante baixe ou exclua arquivos PHP arbitrários ou carregue arquivos PHP maliciosos arbitrários em sites vulneráveis, o que pode resultar na execução remota de comandos.
A vulnerabilidade também recebeu um número CVE CVE-2020-12675. No entanto, atualmente os pesquisadores não compartilharam os detalhes técnicos precisos sobre o Bug.
De acordo com a descrição da vulnerabilidade fornecida pelo Nation Vulnerability Database (NVD), o Bug existia devido à implementação incorreta da verificação de capacidade das funções AJAX relacionadas à criação, exclusão ou recuperação de arquivos PHP.
Um Patch de correção foi lançado após a Alert Logic procurem os desenvolvedores para informá-los sobre a falha. Após o relatório, os desenvolvedores corrigiram o Bug com o lançamento da versão do Plugin 2.54.6.
Portanto, os usuários do Plugin MapPress Maps devem garantir a atualização de seus sites com a versão mais recente do Plugin 2.54.6.
Atualmente, os pesquisadores não compartilharam mais detalhes sobre o Bug, mas pediram que os usuários atualizassem, visto que planejaram compartilhar mais detalhes nas próximas semanas.
