REMOVER VÍRUS AGORA

Vulnerabilidade no Plugin Product Input Fields for WooCommerce: Upload de Arquivos Não Autenticado

O plugin Product Input Fields for WooCommerce, utilizado em sites WordPress, apresenta uma vulnerabilidade crítica que permite o upload não autenticado de arquivos perigosos. Essa falha foi identificada em todas as versões do plugin até a 1.12.1, incluindo esta. A vulnerabilidade, catalogada como CVE-2024-13359, possui uma pontuação CVSS de 8.1 (Alta), indicando um risco significativo para os sites afetados.

Descrição da Vulnerabilidade

A vulnerabilidade ocorre devido à validação insuficiente dos tipos de arquivo na função add_product_input_fields_to_order_item_meta(). Isso permite que atacantes não autenticados realizem o upload de arquivos maliciosos no servidor do site. Em cenários específicos, como quando o administrador deixa o campo de extensões de arquivo aceitas em branco, é possível até mesmo o upload de arquivos .php, o que pode levar à execução remota de código (RCE).

Por padrão, o plugin é vulnerável apenas a ataques de upload de arquivos com dupla extensão (por exemplo, arquivo.jpg.php). No entanto, a configuração inadequada do plugin pode ampliar o risco, permitindo o upload direto de arquivos PHP.

Impacto

  • Confidencialidade: Dados sensíveis podem ser acessados por atacantes.
  • Integridade: Arquivos maliciosos podem ser injetados no servidor.
  • Disponibilidade: O site pode ser comprometido, resultando em indisponibilidade ou perda de controle.

Versões Afetadas

  • Todas as versões até 1.12.1.

Versão Corrigida

  • A versão 1.12.2 (ou superior) corrige a vulnerabilidade. Recomenda-se a atualização imediata.

Recomendações

  1. Atualize o Plugin: Se você utiliza o plugin Product Input Fields for WooCommerce, atualize para a versão 1.12.2 ou superior.
  2. Verifique Configurações: Certifique-se de que o campo de extensões de arquivo aceitas não esteja em branco.
  3. Monitore o Site: Fique atento a atividades suspeitas ou arquivos não autorizados no servidor.

Referências

Conclusão

Essa vulnerabilidade representa um risco significativo para sites que utilizam o plugin Product Input Fields for WooCommerce. A atualização imediata e a revisão das configurações são essenciais para mitigar o risco de exploração. Mantenha seus plugins sempre atualizados e siga as melhores práticas de segurança para proteger seu site.

Posts Recentes

Tags
atualização atualização de plugins atualização de temas Atualizações auditoria de segurança autenticação de dois fatores backup backup WordPress Cibersegurança compatibilidade CSRF CVSS CVSS9.8 defacement desempenho HTTPS Local File Inclusion malware Mitigação Phishing plugin plugins plugins de segurança prevenção de malware proteção proteção de dados ProteçãoDeDados Proteção Online redirecionamentos maliciosos Segurança segurança de plugins Segurança de Sites Segurança Digital Segurança WordPress SEO Stored XSS Sucuri temas TI Vulnerabilidade WooCommerce Wordfence WordPress WordPress seguro XSS
WhatsApp