REMOVER VÍRUS AGORA

Master Slider – Responsive Touch Slider Vulnerável a XSS Armazenado (CVE-2024-13757)

O plugin Master Slider – Responsive Touch Slider, amplamente utilizado no WordPress para criar sliders responsivos e interativos, foi identificado como vulnerável a um ataque de Cross-Site Scripting (XSS) Armazenado em todas as versões até a 3.10.6. Essa vulnerabilidade, catalogada como CVE-2024-13757, foi descoberta pelo pesquisador Krzysztof Zając da CERT PL e representa um risco significativo para sites que utilizam o plugin.

Descrição da Vulnerabilidade

A falha ocorre devido à insuficiente sanitização de entrada e escape de saída nos atributos fornecidos pelo usuário no shortcode ms_layer. Isso permite que atacantes autenticados com permissões de contribuidor ou superior injetem scripts maliciosos nas páginas que utilizam o shortcode. Quando um usuário acessa uma página comprometida, o script é executado, podendo resultar em roubo de dados, redirecionamentos maliciosos ou outras ações prejudiciais.

Impacto

  • Classificação CVSS: 6.4 (Médio)
  • Vetor CVSS: AV:N /AC:L /PR:L /UI:N /S:C /C:L /I:L /A:N
  • Risco: Ataques de XSS armazenado podem comprometer a segurança dos usuários, expondo informações sensíveis ou permitindo a execução de ações não autorizadas.

Versões Afetadas

Todas as versões do plugin Master Slider – Responsive Touch Slider até e incluindo a 3.10.6 estão vulneráveis.

Recomendações

Até o momento, não há um patch disponível para corrigir essa vulnerabilidade. Portanto, recomenda-se:

  1. Remover o plugin: Considere desinstalar o plugin e substituí-lo por uma alternativa segura.
  2. Revisar permissões de usuários: Limite o acesso de contribuidores a funções que não permitam a edição de shortcodes ou scripts.
  3. Monitorar atividades suspeitas: Fique atento a comportamentos incomuns no site, como a inserção de scripts desconhecidos.
  4. Manter backups atualizados: Em caso de comprometimento, ter backups recentes pode ajudar a restaurar o site rapidamente.

Detalhes Técnicos

  • Tipo de Software: Plugin WordPress
  • Slug do Plugin: master-slider
  • Publicação Pública: 4 de março de 2025
  • Última Atualização: 5 de março de 2025

Referências

Conclusão

A vulnerabilidade no Master Slider – Responsive Touch Slider reforça a importância de manter plugins atualizados e revisar permissões de usuários regularmente. Enquanto aguardamos uma correção oficial, a remoção do plugin e a adoção de medidas de segurança adicionais são essenciais para proteger seu site e seus usuários.

Posts Recentes

Tags
atualização atualização de plugins atualização de temas Atualizações auditoria de segurança autenticação de dois fatores backup backup WordPress Cibersegurança compatibilidade CSRF CVSS CVSS9.8 defacement desempenho HTTPS Local File Inclusion malware Mitigação Phishing plugin plugins plugins de segurança prevenção de malware proteção proteção de dados ProteçãoDeDados Proteção Online redirecionamentos maliciosos Segurança segurança de plugins Segurança de Sites Segurança Digital Segurança WordPress SEO Stored XSS Sucuri temas TI Vulnerabilidade WooCommerce Wordfence WordPress WordPress seguro XSS
WhatsApp