Vulnerabilidade crítica encontrada no plug-in de comércio eletrônico do WordPress usado por mais de 30.000 lojas online

wordpress plugins

Foi relatado que o plug-in WordPress "Abandoned Cart Lite for WooCommerce", instalado em mais de 30.000 sites, possui uma vulnerabilidade de segurança crítica. De acordo com um comunicado da Defiant's Wordfence, a vulnerabilidade permite que invasores obtenham acesso às contas de usuários que abandonaram seus carrinhos. A gravidade da vulnerabilidade, rastreada como CVE-2023-2986, foi avaliada em 9,8 de 10 no sistema de pontuação CVSS. Afeta todas as versões do plug-in, incluindo as versões 5.14.2 e anteriores.

O problema decorre de um desvio de autenticação devido a proteções de criptografia inadequadas. Quando os clientes são notificados sobre seus carrinhos de compras abandonados em sites de comércio eletrônico, a chave de criptografia usada é codificada no plug-in. Isso permite que atores mal-intencionados façam login como um usuário com um carrinho abandonado. O pesquisador de segurança István Márton mencionou que existe a possibilidade de explorar a vulnerabilidade de desvio de autenticação para obter acesso a uma conta de usuário administrativo ou de nível superior.

Vulnerabilidade corrigida no início de junho

O desenvolvedor do plug-in, Tyche Softwares, abordou a vulnerabilidade com a versão 5.15.0 em 6 de junho de 2023, e a versão atual é 5.15.2. A divulgação desta vulnerabilidade coincide com a revelação do Wordfence de outra falha de bypass de autenticação no plugin "Booking Calendar | Appointment Booking | BookIt" da StylemixThemes. Essa falha, rastreada como CVE-2023-2834 com uma pontuação CVSS de 9,8, afeta mais de 10.000 instalações do WordPress. Surge da verificação insuficiente durante o processo de agendamento de agendamento, permitindo que invasores não autenticados façam login como qualquer usuário existente se tiverem acesso ao e-mail do usuário. O problema foi resolvido na versão 2.3.8, lançada em 13 de junho de 2023, enquanto as versões 2.3.7 e anteriores são afetadas.

Por que os plug-ins do WordPress são frequentemente visados por hackers?

Os plugins do WordPress são frequentemente alvo de hackers devido a vários motivos:

Popularidade e amplo uso: o WordPress é um dos sistemas de gerenciamento de conteúdo (CMS) mais populares em todo o mundo, alimentando uma parte significativa dos sites na Internet. O uso extensivo do WordPress o torna um alvo atraente para hackers. Como os plug-ins aprimoram a funcionalidade dos sites WordPress, eles são amplamente adotados pelos proprietários de sites. Os invasores sabem que o direcionamento de plug-ins populares pode comprometer um grande número de sites.

Vulnerabilidades e problemas de segurança: como qualquer software, os plug-ins do WordPress podem ter vulnerabilidades e falhas de segurança. Essas vulnerabilidades podem ser exploradas por hackers para obter acesso não autorizado, injetar código malicioso ou realizar outras atividades maliciosas. Os plug-ins podem ter erros de codificação, verificações de validação insuficientes ou medidas de segurança inadequadas que os tornam suscetíveis a ataques.

Falta de atualizações e manutenção: alguns proprietários de sites podem deixar de manter seus plugins do WordPress atualizados ou não mantê-los adequadamente. Plugins desatualizados podem ter vulnerabilidades conhecidas que os hackers podem explorar. Além disso, plug-ins que não são mais mantidos ou suportados pelos desenvolvedores podem não receber patches de segurança oportunos, deixando-os vulneráveis a ataques.

Desenvolvedores de plug-ins de terceiros: os plug-ins do WordPress geralmente são desenvolvidos por desenvolvedores de terceiros que podem ter níveis variados de especialização em segurança. Embora muitos desenvolvedores priorizem a segurança, outros podem não ter o conhecimento ou os recursos necessários para implementar medidas de segurança robustas. Os hackers visam plug-ins desenvolvidos por desenvolvedores menos preocupados com a segurança para explorar pontos fracos em seu código.

Entrada de backdoor: os plug-ins podem servir como um ponto de entrada de backdoor para os invasores obterem acesso a um site WordPress. Ao comprometer um plug-in, os hackers podem ignorar as medidas de segurança e obter controle sobre todo o site. Uma vez lá dentro, eles podem manipular o conteúdo, roubar informações confidenciais ou realizar outras atividades maliciosas.

Para mitigar o risco associado aos plug-ins do WordPress, é crucial que os proprietários de sites sigam as melhores práticas, como:

  • Atualize regularmente os plug-ins para as versões mais recentes que incluem patches de segurança.
  • Escolha plug-ins de fontes confiáveis e desenvolvedores com histórico de fornecer atualizações e suporte regulares.
  • Remova ou desative plug-ins não utilizados para minimizar a superfície de ataque.
  • Empregue um plug-in de segurança confiável que possa detectar e proteger contra possíveis ameaças.
  • Monitore regularmente a segurança do site e implemente medidas de segurança adicionais, como senhas fortes e autenticação de dois fatores.

Ao tomar essas precauções, os proprietários de sites podem reduzir a probabilidade de serem vítimas de ataques direcionados a plug-ins do WordPress.

Por Zaib
June 23, 2023
Computer Security
Portuguese
June 23, 2023
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.