REMOVER VÍRUS AGORA

Vulnerabilidade no Plugin Aiomatic: Falha de Autorização para Ações de Administrador

O plugin Aiomatic – Automatic AI Content Writer & Editor, GPT-3 & GPT-4, ChatGPT ChatBot & AI Toolkit, utilizado em sites WordPress para geração de conteúdo com IA, apresenta uma vulnerabilidade de falha de autorização. Essa falha foi identificada em todas as versões do plugin até a 2.3.6, incluindo esta. A vulnerabilidade, catalogada como CVE-2024-13816, possui uma pontuação CVSS de 5.4 (Média), indicando um risco moderado, mas significativo, para sites afetados.

Descrição da Vulnerabilidade

A vulnerabilidade ocorre devido à falta de verificação de capacidades (capability checks) em várias funções do plugin. Isso permite que atacantes autenticados com permissões de Assinante (Subscriber) ou superior realizem ações restritas a administradores, como:

  • Atualizar e excluir posts.
  • Listar e excluir lotes de conteúdo.
  • Listar e excluir arquivos enviados por assistentes.
  • Excluir personas, formulários e templates.
  • Limpar logs.

Embora a vulnerabilidade tenha sido parcialmente corrigida na versão 2.3.5, ela foi totalmente resolvida apenas na versão 2.3.7.

Impacto

  • Integridade: Conteúdos e configurações do site podem ser modificados ou excluídos por usuários não autorizados.
  • Confidencialidade: Dados sensíveis, como logs e arquivos enviados, podem ser acessados ou removidos.
  • Disponibilidade: Ações maliciosas podem comprometer a funcionalidade do site.

Versões Afetadas

  • Todas as versões até 2.3.6.

Versão Corrigida

  • A versão 2.3.7 (ou superior) corrige a vulnerabilidade. Recomenda-se a atualização imediata.

Recomendações

  1. Atualize o Plugin: Se você utiliza o plugin Aiomatic, atualize para a versão 2.3.7 ou superior.
  2. Revise Permissões de Usuários: Verifique as permissões dos usuários com funções de Assinante ou superior para garantir que não tenham acesso a funcionalidades restritas.
  3. Monitore Atividades: Fique atento a alterações suspeitas no conteúdo ou configurações do site.

Referências

Conclusão

Essa vulnerabilidade de falha de autorização representa um risco moderado, mas significativo, para sites que utilizam o plugin Aiomatic. A atualização imediata e a revisão das permissões de usuários são essenciais para mitigar o risco de exploração. Mantenha seus plugins sempre atualizados e siga as melhores práticas de segurança para proteger seu site.

Posts Recentes

Tags
atualização atualização de plugins atualização de temas Atualizações auditoria de segurança autenticação de dois fatores backup backup WordPress Cibersegurança compatibilidade CSRF CVSS CVSS9.8 defacement desempenho HTTPS Local File Inclusion malware Mitigação Phishing plugin plugins plugins de segurança prevenção de malware proteção proteção de dados ProteçãoDeDados Proteção Online redirecionamentos maliciosos Segurança segurança de plugins Segurança de Sites Segurança Digital Segurança WordPress SEO Stored XSS Sucuri temas TI Vulnerabilidade WooCommerce Wordfence WordPress WordPress seguro XSS
WhatsApp