Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Blogs de Portugal

Bug Crítico de Segurança em Plugin do Wordpress "Simple Social Buttons"

Share it:


Encontrar vulnerabilidades de segurança é uma parte importante para proteger os nossos sites ou dos nossos clientes e sobretudo de melhorar a nossa firewall de gestão de aplicações Web. 

Uma vulnerabilidade no popular plug-in do WordPress, Simple Social Buttons foi reportada recentemente, que permite que utilizadores não administradores modifiquem as opções de instalação do WordPress.
Seu site WordPress está seguro? Veja como proteger seu site aqui.

Visão geral

O Plugin WordPress Simple Social Buttons é um popular plugin pago e gratuito que traz a capacidade de adicionar botões de partilha das redes sociais em diversas situações e formatos.
O plugin tem mais de 40.000+ instalações ativas de acordo com o repositório WordPress Plugin e mais de 500.000 downloads de acordo com o fornecedor de plugins WPBrigade.


Descrição da Vulnerabilidade

Um fluxo de design da aplicação inadequada, encadeado com falta de verificação de permissão resultam num aumento de acesso a privilégios e ações não autorizadas na instalação do WordPress permitindo que utilizadores não administradores, até mesmo o tipo de utilizador ,assinante, modificasse as opções de instalação do WordPress na tabela wp_options.


Como pode ser visto na imagem, uma função iria passar pelo objeto JSON fornecido no pedido e ia atualizar todas as opções com option_name da object key e option_value de um valor chave sem verificar se o utilizador atual tem permissão para gerir opções ou desde que option_name pertença a esse plugin.

Conclusão

Se o seu site usa o plugin do WordPress “ Simple Social Buttons “, deve atualizá-lo o mais rapidamente para a versão mais recente. Uma vulnerabilidade descrita afeta as versões do plug-in da versão 2.0.4 e anterior à 2.0.22, na qual os programadores introduziram o patch.
A vulnerabilidade foi descoberta e relatada em 7 de fevereiro de 2019, e uma versão corrigida foi lançada apenas um dia depois, em 8 de fevereiro de 2019.

Share it:

info

Post A Comment:

0 comments: