Nesta página: [ocultar]
Uma vulnerabilidade crítica foi descoberta no plugin Comentários - wpDiscuz WordPress, instalado em mais de 80,000 sites. A vulnerabilidade já foi corrigida.
As versões afetadas do plug-in incluem versões 7.0.0 - 7.0.4. De acordo com pesquisadores do Wordfence, a vulnerabilidade permitiu que atacantes não autenticados carregassem arquivos arbitrários, incluindo arquivos PHP, executando assim a execução remota de código no servidor do site vulnerável.
Depois de entrar em contato com os desenvolvedores do plug-in, os pesquisadores forneceram detalhes completos da divulgação, e um patch foi disponibilizado. Os sites afetados devem atualizar para a versão 7.0.4 dos Comentários - plugin wpDiscuz para evitar qualquer comprometimento.
Mais sobre os comentários - vulnerabilidade do plug-in wpDiscuz
A vulnerabilidade, descrito como upload arbitrário de arquivo, foi introduzido na mais recente atualização da versão principal do plug-in, Wordfence diz. A falha recebeu uma pontuação CVSS de 10, tornando-o altamente crítico, pois pode levar a ataques de execução remota de código no servidor do site afetado. Proprietários de sites executando qualquer versão de 7.0.0 para 7.0., deve considerar a atualização para a versão corrigida, 7.0.5, O mais breve possível.
wpDiscuz, que foi instalado em milhares de sites WordPress, é um plugin para áreas de comentários responsivos. O plug-in foi desenvolvido para permitir que os usuários discutam tópicos e personalizem seus comentários com a ajuda de um editor de rich text. Nas versões mais recentes 7.x.x do plug-in, os desenvolvedores adicionaram a capacidade de incluir anexos de imagem nos comentários enviados para o site específico. Esta nova adição, Contudo, não tinha proteções de segurança adequadas, criando assim o problema crítico.
Leia também Unsplash Plugin para WordPress: Integração perfeita para todos os sites
Note-se que os comentários do wpDiscuz foram criados com a intenção de permitir apenas anexos de imagens. “Contudo, devido às funções de detecção de tipo mime de arquivo que foram usadas, a verificação do tipo de arquivo pode ser facilmente ignorada, permitindo que usuários não autenticados possam fazer upload de qualquer tipo de arquivo, incluindo arquivos PHP,” O Wordfence explica.
No início deste mês, a mesma equipe de pesquisadores de segurança relatou uma vulnerabilidade em outro plugin do WordPress. o KingComposer plugin do WordPress foi encontrado para conter várias vulnerabilidades que poderiam levar ao controle de acesso sobre sites comprometidos. O plug-in foi instalado em mais de 100,000 sites. Os pesquisadores descobriram um script entre sites refletido sem patch (XSS) falha no plug-in KingComposer, identificado como CVE-2020-15299.
Tudo está consertado!
O problema é 100% fixo e wpDiscuz é seguro.
Você pode ignorar isso se já tiver atualizado para 7.0.5 ou versão superior (a versão atual é 7.0.6).
Isso foi corrigido e a nova versão 7.0.5 foi lançado há uma semana. Não há problemas com a versão atual do wpDiscuz. Seu 100% seguro agora.
Esse tipo de problema acontece com quase todos os plug-ins do WordPress, então não há motivo para se preocupar se você atualizou e atualizou.
Continue atualizando seus plug-ins e certifique-se de usar as versões mais recentes.
Obrigado!
Desenvolvedores wpDiscuz
E alguns números ...
Sobre 50% de usuários wpDiscuz estão usando atualmente versões 7.x.x. É sobre 35,000 sites.
30,000 deles já foram atualizados para proteger 7.0.5 e versões superiores durante a semana passada. E sobre 3,000 sites estão atualizando todos os dias.
Então, em um ou dois dias, quase certamente não haverá nenhum site com dados antigos e inseguros 7.0.0 - 7.0.4 versões e quase todos os sites estarão atualizados e seguros.
Olá,
Obrigado pela visita! Esperamos que todos os usuários do plugin já o tenham atualizado, e ninguém está em risco. Como você disse: Continue atualizando seus plug-ins e certifique-se de usar as versões mais recentes.
obrigado,
Equipe de HowToHosting.guide