Recentemente, foi solucionada uma vulnerabilidade chamada High em um complemento de otimização do Google Fonts para WordPress, que possibilitava a exclusão de pastas inteiras e o carregamento de scripts maliciosos por parte de invasores.
Texto: Plugin OMGF para Imprensa, compatível com o GDPR/DSGVO, que segue as diretrizes de privacidade de dados.
O plugin, OMGF | Compatível com GDPR/DSGVO, Acelera o uso do Google Fonts, tornando-o mais leve para a velocidade da página e também é adequado para as regulamentações do GDPR, sendo útil para usuários na União Europeia que queiram utilizar o Google Fonts.
Imagens que mostram a classificação de vulnerabilidade do Wordfence.
Fragilidade.
A falta de autenticação é especialmente preocupante, uma vez que possibilita que agressores sem identificação ou credenciais possam ter acesso.
A vulnerabilidade é caracterizada por permitir a exclusão de diretórios sem autenticação e possibilitar o envio de scripts Cross-Site (XSS).
Cross-Site Scripting (XSS) é uma forma de ataque em que um script malicioso é inserido em um servidor de site, podendo ser utilizado para atacar os navegadores de qualquer visitante de forma remota. Isso pode levar ao acesso aos cookies do usuário ou informações de sessão, permitindo que o atacante assuma o mesmo nível de privilégio do usuário que está visitando o site.
De acordo com os pesquisadores do Wordfence, a razão pela qual a vulnerabilidade ocorre é devido à ausência de um recurso de verificação de capacidade. Esse recurso de segurança é responsável por verificar se um usuário possui acesso a uma determinada função de um plugin, neste caso, uma função de administração.
Veja também: Termo-chave Proteção da mídia: 16 etapas para assegurar e garantir a segurança do seu site.
A página oficial do desenvolvedor do WordPress para criadores de plugins afirma o seguinte sobre a verificação de compatibilidade:
Os recursos do usuário são as permissões específicas que são atribuídas a cada indivíduo ou a uma função desempenhada pelo usuário.
Por exemplo, os administradores possuem a permissão “manage_options” que lhes concede a habilidade de ver, modificar e guardar configurações para o site. Porém, os editores não possuem essa permissão, o que os impede de acessar as configurações.
Desta forma, esses recursos passam por verificações em diferentes áreas dentro do Admin. A depender dos recursos designados a um cargo, é possível adicionar ou remover menus, funcionalidades e outros aspectos da experiência do WordPress.
Quando estiver desenvolvendo um plugin, é importante garantir que o código seja executado somente quando o usuário atual possui as habilidades requeridas.
A vulnerabilidade é explicada pela Wordfence.
O texto afirma que existe uma vulnerabilidade que permite a modificação não autorizada de dados e a execução de Scripts Cross-Site armazenados. Essa vulnerabilidade ocorre devido à ausência de uma verificação de capacidade na função update_settings(), que está presente em todas as versões até a 5.7.9.
De acordo com o Wordfence, versões anteriores já tentaram resolver o problema de segurança, porém considera-se a versão 5.7.10 como a mais segura do plugin.
Confira o comunicado sobre a fragilidade identificada pelo Wordfence:
OMGF é compatível com o GDPR/DSGVO, oferecendo uma versão mais rápida do Google Fonts. Foi identificado um problema na versão 5.7.9, onde a autorização para excluir diretórios não autenticados e scripting cross-site está ausente.
A imagem principal é fornecida pela Shutterstock, especificamente por Nikulina Tatiana.