O NVD dos EUA emitiu um comunicado alertando sobre uma falha de segurança do plugin Shortcodes Ultimate WordPress, que foi identificada como uma vulnerabilidade de Cross Site Request Forgery.
O Ultimate Access Codes é um plugin muito apreciado no WordPress, com mais de 700.000 instalações ativas.
A falha de segurança impacta as versões do plugin que têm uma data anterior à versão mais recente, a 5.12.2.
Fragilidade da prática de falsificação de solicitações.
Cross-Site Request Forgery, também conhecido como CSRF, é uma falha de segurança que, em situações extremas, pode resultar na total tomada do controle do site.
Essas vulnerabilidades costumam surgir devido à identificação de uma falha no software que, ao ser explorada, pode resultar em alterações inesperadas e indesejadas.
Um ataque que obtém sucesso costuma ser resultado da ação de um usuário, como por exemplo alguém com privilégios de administrador, que clica em um link e acaba revelando informações sem intenção, como um cookie de sessão que pode ser utilizado para se passar por essa pessoa.
Essa vulnerabilidade específica é resultado da engenharia social, que consiste em manipular um usuário para realizar uma ação que, posteriormente, explora a vulnerabilidade do plugin.
Segundo o Projeto de Segurança de Aplicações Web Abertas (OWASP):
CSRF é uma forma de ataque em que o agressor induz a vítima a realizar uma solicitação maliciosa.
Recebe a identidade e benefícios da vítima para desempenhar uma tarefa indesejada em nome dela…
Na maioria dos sites, as requisições feitas pelo navegador automaticamente incluem todas as informações de identificação relacionadas ao site, como cookies de sessão do usuário, endereço IP, credenciais de domínio do Windows, entre outros.
Assim, se o usuário estiver logado no site, não será possível diferenciar entre uma solicitação falsa enviada pela vítima e uma solicitação legítima enviada pela vítima.
Registro Nacional de Vulnerabilidades em Bancos de Dados (RNVD)
Atualmente, o banco de dados divulgou informações limitadas sobre a vulnerabilidade nacional, sem ter realizado uma análise completa da mesma.
A equipe de comunicação da NVD divulgou o seguinte:
Vulnerabilidade de Cross-Site Request Forgery (CSRF) identificada no plugin Shortcodes Ultimate até a versão 5.12.0 no WordPress, resultando na possibilidade de alterar as configurações predefinidas do plugin.
O empregado do Shortcodes Ultimate GitHub changelog foi igualmente breve ao descrever a atualização para corrigir a falha de segurança.
O texto “## 5.12.1” pode ser parafraseado como “Seção 5, Subseção 12, Item 1”.
Libertação de segurança: Libertação da segurança.
Esta nova versão soluciona uma falha de segurança encontrada no mecanismo de criação de códigos curtos. Agradecimentos a Dave John pela descoberta.
Enquanto isso, a descrição de alterações do repositório de plugins do WordPress explica:
“Problema corrigido no Shortcode Generator Presets, que foi introduzido na última atualização.”
O registro de alterações acima aparenta não mencionar o nome do especialista em segurança, que é corretamente identificado como Dave Jong, CTO da Patchstack, o indivíduo responsável por identificar e relatar a vulnerabilidade.
Sugestão de curso de ação.
Editores do WordPress que atualmente utilizam o Plugin de Shortcodes devem pensar em fazer a atualização para a versão mais recente, que, no momento em que este texto foi escrito, é a versão 5.12.2.
Parafraseando o texto: “Frase citada de outra fonte.”
Leia a Avaliação Nacional de Vulnerabilidade.
CVE-2022-38086, Informação de Vulnerabilidade, Descrição
Confira o anúncio do Patchstack.
Vulnerabilidade CSRF encontrada no plugin WordPress Ultimate Codes de acesso até a versão 5.12.0.
Imagem principal fornecida pela Shutterstock, cortesia do Cookie Studio.