Um grupo de investigadores de segurança da empresa RIPS Technologies GmbH anunciaram ter descoberto uma falha de segurança na plataforma WordPress e que pode permitir aos hackers obterem o acesso ao site e executarem códigos maliciosos no servidor onde está alojado.
A falha terá sido descoberta há vários meses, tendo o WordPress sido de imediato notificado sobre este problema. A vulnerabilidade, conhecida como “Authenticated Arbitrary File Deletion” foi revelada há sete meses atrás, no entanto até agora não possui correção, afetando todas as versões da plataforma, onde está incluída a 4.9.6.
De acordo com a informação divulgada, a falha de segurança está presente numa das principais funcionalidades do WordPress e é executada em background quando um utilizador apaga, de forma permanente, a miniatura de uma imagem enviada. Os especialistas afirmam que quando a função de apagar a imagem é executada por um utilizador com privilégios de autor esta pode permitir a eliminação de qualquer outro ficheiro, algo que apenas deveria de ser um privilégio de um administrador do site.
Desta forma ficam acessíveis ficheiros sensíveis da configuração do site e que podem por em risco toda a segurança da plataforma.
Perante a gravidade da situação e agora a divulgação publica do problema, é esperado que seja disponibilizada uma correção para esta vulnerabilidade.
FONTE: WINTECH