Resumo semanal de vulnerabilidades do WordPress de 24 a 30 de junho de 2024

administrador

Relatório de Vulnerabilidade do WordPress: 24 de junho de 2024 a 30 de junho de 2024

Introdução

O objetivo deste relatório é fornecer aos administradores de sites WordPress informações críticas sobre vulnerabilidades descobertas na semana passada. Manter-se atualizado sobre essas atualizações é vital para manter a integridade do site e proteger os dados do usuário. Este relatório cobre o período de 24 de junho de 2024 a 30 de junho de 2024, enfatizando a importância de se manter atualizado com relatórios de segurança para proteger sites de ameaças potenciais.

Resumo das principais vulnerabilidades

Vulnerabilidades não corrigidas

  • Imagem em destaque automático: A vulnerabilidade de upload de arquivo arbitrário (CVE-2024-6054) permanece sem correção.
  • Anima: A vulnerabilidade de Cross-Site Scripting armazenado (CVE-2024-37248) permanece sem correção.

Vulnerabilidades corrigidas

  • Núcleo do WordPress < 6.5.5: Vulnerabilidade de Cross-Site Scripting armazenado autenticado (XSS) via API HTML.
  • Gateway de pagamento PayPlus: Vulnerabilidade de injeção de SQL não autenticada (CVE-2024-6205), corrigida em 28 de junho de 2024.
  • Vários plugins: Vulnerabilidade de backdoor injetada (CVE-2024-6297), corrigida em vários plug-ins, incluindo o plug-in de compartilhamento social, o complemento multietapas do Contact Form 7, Simply Show Hooks e muito mais.

Vulnerabilidades por gravidade

  • Crítico: 7 vulnerabilidades, incluindo o PayPlus Payment Gateway e vários plugins com backdoors injetados.
  • Alto: 8 vulnerabilidades, incluindo WP Maps SQL Injection e WPCafe File Inclusion.
  • Médio: 104 vulnerabilidades.
  • Baixo: 2 vulnerabilidades.

Vulnerabilidades por tipo de CWE

  • Script entre sites (XSS): 66 vulnerabilidades.
  • Autorização ausente: 16 vulnerabilidades.
  • Falsificação de solicitação entre sites (CSRF): 15 vulnerabilidades.
  • Injeção de SQL: 4 vulnerabilidades.
  • Travessia de caminho: 3 vulnerabilidades.

Impacto das Vulnerabilidades

Essas vulnerabilidades podem afetar gravemente sites WordPress, levando a violações de dados, desfiguração de sites, infecções por malware e perda de confiança do usuário. Por exemplo, vulnerabilidades de injeção de SQL podem permitir que invasores executem comandos SQL arbitrários, potencialmente levando a acesso e modificação de dados não autorizados. Vulnerabilidades de XSS podem permitir que invasores injetem scripts maliciosos em páginas da web visualizadas por outros usuários, comprometendo seus dados e potencialmente espalhando malware.

Cenários do mundo real

  1. Injeção de SQL no gateway de pagamento PayPlus: Isso pode permitir que invasores manipulem consultas de banco de dados, levando ao acesso não autorizado a informações confidenciais de pagamento.
  2. XSS no núcleo do WordPress: Os invasores podem usar essa vulnerabilidade para injetar scripts maliciosos, potencialmente comprometendo contas de administradores e espalhando malware.

Mitigação e Recomendações

Atualizando Plugins e Temas

  1. Atualizações regulares: Garanta que todos os plugins, temas e núcleo do WordPress estejam atualizados para as versões mais recentes. Isso inclui habilitar atualizações automáticas sempre que possível.
  2. Revisar Logs de Mudanças: Sempre revise os registros de alterações de plugins e temas para quaisquer atualizações relacionadas à segurança.

Implementando Medidas de Segurança

  1. Autenticação de dois fatores (2FA): Implemente 2FA para todas as contas de administrador para adicionar uma camada extra de segurança.
  2. Backups regulares: Programe backups regulares do seu site para garantir que os dados possam ser restaurados em caso de um ataque.
  3. Plugins de segurança: Use plugins de segurança para verificar vulnerabilidades e se proteger contra ameaças comuns.

Monitoramento da atividade do site

  1. Monitoramento de Log: Monitore regularmente os logs do servidor e do aplicativo em busca de atividades suspeitas.
  2. Rastreamento de atividade do usuário: Use plugins para rastrear a atividade do usuário no seu site e detectar alterações não autorizadas.

Análise aprofundada de vulnerabilidades específicas

Injeção de SQL do gateway de pagamento PayPlus

  • Gravidade: Crítico (pontuação CVSS 10,0)
  • Mecânica: Esta vulnerabilidade permite que usuários não autenticados injetem comandos SQL maliciosos.
  • Impacto: Pode levar ao comprometimento total do banco de dados, acesso não autorizado aos dados e possível corrupção de dados.
  • Mitigação: Aplique o patch disponível imediatamente e revise os logs do banco de dados em busca de quaisquer sinais de exploração.

WordPress Core XSS via API HTML

  • Gravidade: Alto
  • Mecânica: Usuários autenticados podem injetar scripts maliciosos que são armazenados e executados no navegador de qualquer pessoa que visualize a página afetada.
  • Impacto: Pode levar ao sequestro de sessão, desfiguração e disseminação de malware.
  • Mitigação: Atualize para a versão mais recente do núcleo do WordPress e implemente um Firewall de Aplicativo Web (WAF) para bloquear scripts maliciosos.

Comparação Histórica

Comparando o relatório desta semana com as semanas anteriores, há um aumento notável em vulnerabilidades de gravidade média. Isso pode indicar uma tendência em que mais vulnerabilidades estão sendo descobertas e corrigidas antes de atingir níveis de gravidade críticos. Além disso, o desempenho de plugins específicos, como PayPlus Payment Gateway e Newspack Blocks, mostrou melhora devido a patches recentes.

Conclusão

Manter-se atualizado com os relatórios de vulnerabilidade mais recentes é crucial para manter a segurança e a integridade dos sites WordPress. Implementar práticas de segurança recomendadas e aplicar patches prontamente pode reduzir significativamente o risco de exploração. Para dados detalhados de vulnerabilidade e atualizações em tempo real, considere utilizar ferramentas como o banco de dados de vulnerabilidades do WP-Firewall e assinar listas de discussão de segurança. Ao permanecerem vigilantes e proativos, os administradores de sites podem proteger seus sites e dados de usuários de ameaças emergentes.

Apêndice – Lista completa de vulnerabilidades do WordPress

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado
pt_PT Português
pt_PT Português en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™