Resumo semanal de vulnerabilidades do WordPress de 24 a 30 de junho de 2024

administrador

Relatório de Vulnerabilidade do WordPress: 24 de junho de 2024 a 30 de junho de 2024

Introdução

O objetivo deste relatório é fornecer aos administradores de sites WordPress informações críticas sobre vulnerabilidades descobertas na semana passada. Manter-se atualizado sobre essas atualizações é vital para manter a integridade do site e proteger os dados do usuário. Este relatório cobre o período de 24 de junho de 2024 a 30 de junho de 2024, enfatizando a importância de se manter atualizado com relatórios de segurança para proteger sites de ameaças potenciais.

Resumo das principais vulnerabilidades

Vulnerabilidades não corrigidas

  • Imagem em destaque automático: A vulnerabilidade de upload de arquivo arbitrário (CVE-2024-6054) permanece sem correção.
  • Anima: A vulnerabilidade de Cross-Site Scripting armazenado (CVE-2024-37248) permanece sem correção.

Vulnerabilidades corrigidas

  • Núcleo do WordPress < 6.5.5: Vulnerabilidade de Cross-Site Scripting armazenado autenticado (XSS) via API HTML.
  • Gateway de pagamento PayPlus: Vulnerabilidade de injeção de SQL não autenticada (CVE-2024-6205), corrigida em 28 de junho de 2024.
  • Vários plugins: Vulnerabilidade de backdoor injetada (CVE-2024-6297), corrigida em vários plug-ins, incluindo o plug-in de compartilhamento social, o complemento multietapas do Contact Form 7, Simply Show Hooks e muito mais.

Vulnerabilidades por gravidade

  • Crítico: 7 vulnerabilidades, incluindo o PayPlus Payment Gateway e vários plugins com backdoors injetados.
  • Alto: 8 vulnerabilidades, incluindo WP Maps SQL Injection e WPCafe File Inclusion.
  • Médio: 104 vulnerabilidades.
  • Baixo: 2 vulnerabilidades.

Vulnerabilidades por tipo de CWE

  • Script entre sites (XSS): 66 vulnerabilidades.
  • Autorização ausente: 16 vulnerabilidades.
  • Falsificação de solicitação entre sites (CSRF): 15 vulnerabilidades.
  • Injeção de SQL: 4 vulnerabilidades.
  • Travessia de caminho: 3 vulnerabilidades.

Impacto das Vulnerabilidades

Essas vulnerabilidades podem afetar gravemente sites WordPress, levando a violações de dados, desfiguração de sites, infecções por malware e perda de confiança do usuário. Por exemplo, vulnerabilidades de injeção de SQL podem permitir que invasores executem comandos SQL arbitrários, potencialmente levando a acesso e modificação de dados não autorizados. Vulnerabilidades de XSS podem permitir que invasores injetem scripts maliciosos em páginas da web visualizadas por outros usuários, comprometendo seus dados e potencialmente espalhando malware.

Cenários do mundo real

  1. Injeção de SQL no gateway de pagamento PayPlus: Isso pode permitir que invasores manipulem consultas de banco de dados, levando ao acesso não autorizado a informações confidenciais de pagamento.
  2. XSS no núcleo do WordPress: Os invasores podem usar essa vulnerabilidade para injetar scripts maliciosos, potencialmente comprometendo contas de administradores e espalhando malware.

Mitigação e Recomendações

Atualizando Plugins e Temas

  1. Atualizações regulares: Garanta que todos os plugins, temas e núcleo do WordPress estejam atualizados para as versões mais recentes. Isso inclui habilitar atualizações automáticas sempre que possível.
  2. Revisar Logs de Mudanças: Sempre revise os registros de alterações de plugins e temas para quaisquer atualizações relacionadas à segurança.

Implementando Medidas de Segurança

  1. Autenticação de dois fatores (2FA): Implemente 2FA para todas as contas de administrador para adicionar uma camada extra de segurança.
  2. Backups regulares: Programe backups regulares do seu site para garantir que os dados possam ser restaurados em caso de um ataque.
  3. Plugins de segurança: Use plugins de segurança para verificar vulnerabilidades e se proteger contra ameaças comuns.

Monitoramento da atividade do site

  1. Monitoramento de Log: Monitore regularmente os logs do servidor e do aplicativo em busca de atividades suspeitas.
  2. Rastreamento de atividade do usuário: Use plugins para rastrear a atividade do usuário no seu site e detectar alterações não autorizadas.

Análise aprofundada de vulnerabilidades específicas

Injeção de SQL do gateway de pagamento PayPlus

  • Gravidade: Crítico (pontuação CVSS 10,0)
  • Mecânica: Esta vulnerabilidade permite que usuários não autenticados injetem comandos SQL maliciosos.
  • Impacto: Pode levar ao comprometimento total do banco de dados, acesso não autorizado aos dados e possível corrupção de dados.
  • Mitigação: Aplique o patch disponível imediatamente e revise os logs do banco de dados em busca de quaisquer sinais de exploração.

WordPress Core XSS via API HTML

  • Gravidade: Alto
  • Mecânica: Usuários autenticados podem injetar scripts maliciosos que são armazenados e executados no navegador de qualquer pessoa que visualize a página afetada.
  • Impacto: Pode levar ao sequestro de sessão, desfiguração e disseminação de malware.
  • Mitigação: Atualize para a versão mais recente do núcleo do WordPress e implemente um Firewall de Aplicativo Web (WAF) para bloquear scripts maliciosos.

Comparação Histórica

Comparando o relatório desta semana com as semanas anteriores, há um aumento notável em vulnerabilidades de gravidade média. Isso pode indicar uma tendência em que mais vulnerabilidades estão sendo descobertas e corrigidas antes de atingir níveis de gravidade críticos. Além disso, o desempenho de plugins específicos, como PayPlus Payment Gateway e Newspack Blocks, mostrou melhora devido a patches recentes.

Conclusão

Manter-se atualizado com os relatórios de vulnerabilidade mais recentes é crucial para manter a segurança e a integridade dos sites WordPress. Implementar práticas de segurança recomendadas e aplicar patches prontamente pode reduzir significativamente o risco de exploração. Para dados detalhados de vulnerabilidade e atualizações em tempo real, considere utilizar ferramentas como o banco de dados de vulnerabilidades do WP-Firewall e assinar listas de discussão de segurança. Ao permanecerem vigilantes e proativos, os administradores de sites podem proteger seus sites e dados de usuários de ameaças emergentes.

Apêndice – Lista completa de vulnerabilidades do WordPress


wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora
!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.