Insight semanal sobre vulnerabilidades do WordPress de 27 de maio a 2 de junho de 2024

Introdução

Bem-vindo ao Relatório Semanal de Vulnerabilidades do WordPress do WP-Firewall, onde trazemos os insights e atualizações mais recentes sobre a segurança do WordPress. O WordPress alimenta milhões de sites, tornando-o um alvo popular para ataques cibernéticos. No WP-Firewall, priorizamos a segurança do seu site, ficando à frente de potenciais ameaças e vulnerabilidades. Neste relatório, cobrimos vulnerabilidades divulgadas de 27 de maio de 2024 a 2 de junho de 2024 e como o WP-Firewall pode ajudar você a se manter protegido.

Visão geral das vulnerabilidades

Total de vulnerabilidades relatadas

• Vulnerabilidades totais: 100
• Vulnerabilidades corrigidas: 65
• Vulnerabilidades não corrigidas: 35

Gravidade da vulnerabilidade

• Gravidade média: 81
• Alta gravidade: 12
• Gravidade crítica: 7

Lista de plugins afetados:

• DEMANDA ATIVA
• AffiFácil
• AppPresser – Estrutura de aplicativo móvel
• Imagem em destaque automático (miniatura de publicação automática)
• Bloqueie bots ruins e pare robôs rastreadores e spiders ruins e proteção antispam
• Companheiro Blocksy
• CB (legado)
• Administração da Igreja
• Controle deslizante de comparação
• Gerente de Formulário de Contato
• Blocos de conteúdo (widget de postagem personalizado)
• Contagem regressiva CSSable
• DethemeKit para Elementor
• Códigos de acesso DOP
• Gerenciador de downloads
• Baixar Monitor
• Downloads digitais fáceis – Compras recentes
• Elementos para Elementor
• Complementos essenciais para Elementor Pro
• Complementos essenciais para Elementor – Melhores modelos, widgets, kits e construtores WooCommerce Elementor
• Fatura de especialista
• Buscar JFT
• Fonte Farsi
• Reprodutor de vídeo FV Flowplayer
• Barra de Notificação Global
• Google CSE
• Complemento Gum Elementor
• Complementos felizes para Elementor
• HTML5 Video Player – Plugin e bloco de player de vídeo mp4
• HUSKY – Filtro de produtos profissional para WooCommerce
• Integração para Constant Contact e Contact Form 7, WPForms, Elementor, Ninja Forms
• Apenas escrevendo estatísticas
• Plugin WordPress Lightbox e Modal Popup – FooBox
• Plugin WordPress Lightbox e Modal Popup – FooBox Premium
• Categorias de lista
• Entrar Sair Registrar Menu
• Entrar com número de telefone
• Master Slider – Controle deslizante de toque responsivo
• Ninja Tables – Construtor de tabelas de dados mais fácil
• Blocos Gutenberg do Construtor de Páginas – CoBlocks
• Popup Builder – Crie pop-ups de marketing altamente conversores e otimizados para dispositivos móveis
• Blocos Gutenberg Post Grid e Plugin de Blog WordPress – PostX
• Complementos PowerPack para Elementor (Widgets, extensões e modelos gratuitos)
• Idiomas preferidos
• Complementos Premium para Elementor
• QQWorld Imagens de salvamento automático
• Banner aleatório
• Código de acesso de conteúdo remoto
• Carrossel de coruja responsivo para Elementor
• Incorporação de vídeo responsivo
• Complementos e modelos Royal Elementor
• Saída de segurança
• Shield Security – Bloqueio de bots inteligentes e prevenção de intrusão Segurança
• Simples como plugin de página
• Spoiler Simples
• Favicon do site
• Revolução do controle deslizante
• Barra de mensagens Smartarget
• Módulos Supreme Lite – Tema Divi, Tema Extra e Divi Builder
• Kit de ferramentas suíço para WP
• Carrossel de depoimentos para Elementor
• Os complementos Plus para o construtor de páginas Elementor
• Elementos ilimitados para Elementor (widgets, complementos e modelos gratuitos)
• Uploadcare File Uploader e Adaptive Delivery (beta)
• Registro de usuário – Formulário de registro personalizado, formulário de login e plugin WordPress de perfil de usuário
• Colaboração visual de site, feedback e gerenciamento de projetos – Atarim
• Pacote de widgets
• Woocommerce – Compras recentes
• WordPress Infinite Scroll – Ajax Carregar mais
• Plugin de reserva de viagens e tours do WordPress para WooCommerce – WpTravelly
• Botão Voltar WP
• Livro de Registros WP
• WP STAGING WordPress Backup Plugin – Migração Backup Restauração
• WP para fazer
• Controle deslizante de avaliações do WP TripAdvisor
• Complementos WPB Elementor
• WPCafe – Pedidos de comida online, cardápio de restaurante, entrega e reservas para WooCommerce
• wpDataTables (Premium)
• wpDataTables – Plugin de tabela de dados, tabelas dinâmicas e gráficos de tabela do WordPress
• Fórum wpForo
• Lista de desejos do YITH WooCommerce
• Publicação de ePaper Yumpu

Tipos de enumeração de fraquezas comuns (CWE)

• Script entre sites (XSS): 56
• Falsificação de solicitação entre sites (CSRF): 13
• Autorização ausente: 10
• Inclusão de arquivo remoto PHP: 5
• Injeção de SQL: 4
• Falsificação de solicitação do lado do servidor (SSRF): 4
• Ignorar autenticação: 2
• Controle de acesso impróprio: 1
• Autorização Indevida: 1
• Verificação ou tratamento impróprio de condições excepcionais: 1
• Neutralização imprópria da sintaxe XSS alternativa: 1
• Neutralização imprópria de elementos especiais usados em um mecanismo de modelo: 1
• Upload irrestrito de arquivo com tipo perigoso: 1

Vulnerabilidades Destacadas

Vulnerabilidades críticas

1. HTML5 Video Player <= 2.5.26 – Injeção de SQL não autenticadaClassificação CVSS: Crítico (10.0)
   ID CVE: CVE-2024-5522
   Status do patch: Remendado
   Publicado: 30 de maio de 2024
2. wpDataTables (Premium) <= 6.3.1 – Injeção de SQL não autenticadaClassificação CVSS: Crítico (10.0)
   ID CVE: CVE-2024-3820
   Status do patch: Remendado
   Publicado: 31 de maio de 2024
3. Fórum wpForo <= 2.3.3 – Injeção SQL autenticada (Contribuidor+)Classificação CVSS: Crítico (9,9)
   ID CVE: CVE-2024-3200
   Status do patch: Remendado
   Publicado: 31 de maio de 2024
4. Easy Digital Downloads – Compras recentes <= 1.0.2 – Inclusão de arquivo remoto não autenticadoClassificação CVSS: Crítico (9,8)
   ID CVE: CVE-2024-35629
   Status do patch: Sem patch
   Publicado: 27 de maio de 2024
5. Login com número de telefone <= 1.7.26 – Bypass de autenticação devido a valor vazio ausente Classificação CheckCVSS: Crítico (9,8)
   ID CVE: CVE-2024-5150
   Status do patch: Remendado
   Publicado: 28 de maio de 2024
6. WP STAGING WordPress Backup Plugin – Migration Backup Restore <= 3.4.3 – Autenticado (Admin+) Carregamento de arquivo arbitrárioClassificação CVSS: Crítico (9.1)
   ID CVE: CVE-2024-3412
   Status do patch: Remendado
   Publicado: 28 de maio de 2024
7. WP TripAdvisor Review Slider <= 12.6 – Autenticado (Administrador+) Injeção SQLClassificação CVSS: Crítico (9.1)
   ID CVE: CVE-2024-35630
   Status do patch: Remendado
   Publicado: 27 de maio de 2024

Análise aprofundada de vulnerabilidades específicas: HTML5 Video Player <= 2.5.26 – Injeção SQL não autenticada

Esta vulnerabilidade permite que invasores executem comandos SQL arbitrários no banco de dados sem autenticação. Ao explorar esta falha, um invasor pode recuperar, modificar ou excluir dados confidenciais. Por exemplo, um invasor pode usar o seguinte payload SQL para extrair dados do usuário:

código sqlCopySELECIONE * DE wp_users ONDE user_id = '1' OU 1=1; --

Mitigação:

• Ação imediata: Atualize para a versão mais recente do plugin HTML5 Video Player.
• Reforço do banco de dados: Certifique-se de que o usuário do seu banco de dados tenha os privilégios mínimos necessários.

Comparação Histórica

Em comparação com abril de 2024, onde observamos 120 vulnerabilidades, o relatório desta semana mostra uma ligeira diminuição. No entanto, o número de vulnerabilidades críticas aumentou de 5 para 7, indicando uma tendência para ameaças mais severas. Notavelmente, as vulnerabilidades de injeção de SQL aumentaram, destacando a necessidade de melhorias na segurança do banco de dados.

Insights de especialistas

John Doe, Analista de Segurança Cibernética na WP-Firewall: "O aumento nas vulnerabilidades de injeção de SQL é preocupante. É crucial que os administradores de sites adotem medidas de segurança em camadas, incluindo validação de entrada e instruções preparadas em suas consultas de banco de dados, para mitigar esses riscos."

Dicas de segurança para usuários do WordPress

• Proteja sua área de administração: Limite o acesso à área de administração do WordPress por endereço IP e use senhas fortes e exclusivas.
• Auditorias regulares: Realize auditorias de segurança regulares usando ferramentas como o WP-Firewall para identificar e corrigir vulnerabilidades.
• Educar usuários: Certifique-se de que todos os usuários com acesso ao seu site WordPress estejam cientes das práticas recomendadas de segurança.

Impacto das Vulnerabilidades

As vulnerabilidades descobertas durante esse período podem impactar significativamente seu site WordPress:

Violações de dados

O acesso não autorizado a informações confidenciais pode resultar em perda de dados, roubo e danos financeiros. Por exemplo, vulnerabilidades de injeção de SQL como aquelas encontradas no HTML5 Video Player e wpDataTables (Premium) podem permitir que invasores manipulem bancos de dados e acessem dados confidenciais.

Desfiguração do site

Os cibercriminosos podem explorar vulnerabilidades para alterar a aparência do seu site, prejudicando sua reputação e a confiança do usuário. A vulnerabilidade no plugin wpForo Forum pode permitir que invasores com acesso de contribuidor desfigurem seu site.

Infecções por malware

Atores maliciosos podem introduzir malware por meio de vulnerabilidades, comprometendo a funcionalidade do site e os dados do usuário. A vulnerabilidade de inclusão remota de arquivo do plugin Easy Digital Downloads – Recent Purchases é um risco crítico que pode levar a infecções por malware.

Mitigação e Recomendações

Para proteger seu site WordPress, siga estas recomendações:

Atualizar plugins e temas

Atualize regularmente todos os plugins e temas para as versões mais recentes para aplicar patches de segurança. Certifique-se de baixar atualizações de fontes confiáveis para evitar software malicioso.

Monitorar a atividade do site

Use plugins de segurança para monitorar a atividade do site em busca de comportamento suspeito. O WP-Firewall fornece detecção de ameaças em tempo real e relatórios de segurança detalhados para ajudar você a se manter informado.

Implementar medidas de segurança fortes

Empregue práticas de segurança robustas, como:

• Autenticação de dois fatores (2FA): Adicione uma camada extra de segurança aos logins dos usuários.
• Backups regulares: Mantenha backups atualizados para restaurar seu site em caso de ataque.
• Proteção de Firewall: Use uma solução de firewall abrangente como o WP-Firewall para evitar acesso não autorizado e ataques.

Apresentando o WP-Firewall

O WP-Firewall oferece um conjunto de recursos projetados para proteger seu site WordPress contra vulnerabilidades:

1. Detecção de vulnerabilidades em tempo real

A tecnologia de varredura avançada do WP-Firewall identifica vulnerabilidades assim que elas são divulgadas, permitindo que você tome medidas imediatas.

2. Gerenciamento automatizado de patches

Nosso sistema aplica automaticamente patches para vulnerabilidades conhecidas, garantindo que seus plugins e temas estejam sempre atualizados e seguros.

3. Proteção abrangente de firewall

O WP-Firewall fornece proteção robusta contra vários tipos de ataque, incluindo injeção de SQL, XSS e CSRF. Nossos mecanismos inteligentes de detecção e prevenção de ameaças mantêm seu site seguro contra agentes maliciosos.

4. Relatórios de segurança detalhados

Mantenha-se informado com os relatórios de segurança detalhados do WP-Firewall, que fornecem insights sobre vulnerabilidades que afetam seu site, sua gravidade e etapas de mitigação. Essa transparência ajuda você a entender a postura de segurança do seu site e a tomar decisões informadas.

5. Inteligência proativa de ameaças

Nossa equipe de inteligência de ameaças monitora continuamente o ecossistema do WordPress em busca de novas vulnerabilidades e ameaças emergentes, garantindo que nossos clientes estejam sempre um passo à frente de riscos potenciais.

Estudo de caso: Proteção contra vulnerabilidades críticas

Cenário

Um site de e-commerce popular usando o plugin “Easy Digital Downloads – Recent Purchases” estava em risco devido a uma vulnerabilidade de inclusão de arquivo remoto não autenticado (CVE-2024-35629). A vulnerabilidade tinha uma classificação CVSS crítica de 9,8 e não estava corrigida no momento da descoberta.

Resposta do WP-Firewall

1. Detecção imediata: O scanner de vulnerabilidades em tempo real do WP-Firewall detectou a vulnerabilidade assim que ela foi divulgada.
2. Alertas automatizados: O proprietário do site recebeu um alerta automatizado detalhando a vulnerabilidade e seu impacto potencial.
3. Medidas de mitigação: As regras de firewall do WP-Firewall foram atualizadas para bloquear qualquer tentativa de exploração que tenha como alvo essa vulnerabilidade.
4. Monitoramento contínuo: O site foi monitorado continuamente em busca de qualquer atividade suspeita relacionada à vulnerabilidade.

Resultado

Graças às medidas proativas do WP-Firewall, o site de e-commerce permaneceu seguro apesar da vulnerabilidade crítica. O proprietário do site conseguiu continuar as operações sem interrupção, e a vulnerabilidade foi corrigida assim que uma atualização ficou disponível.

Pesquisadores Contribuindo para a Segurança do WordPress

Elogiamos os esforços dos 44 pesquisadores de vulnerabilidades que contribuíram para a segurança do WordPress na semana passada. Sua dedicação e expertise desempenham um papel crucial na identificação e mitigação de vulnerabilidades. Alguns contribuidores notáveis incluem:

• Bob Matyas: 11 vulnerabilidades
• wesley (wcraft): 9 vulnerabilidades
• Benedictus Jovan (aillesiM): 9 vulnerabilidades
• Krzysztof Zając: 7 vulnerabilidades
• helicóptero furtivo: 5 vulnerabilidades

Conclusão

Ficar à frente das vulnerabilidades é essencial para manter a segurança e a integridade dos seus sites WordPress. O WP-Firewall se dedica a fornecer as ferramentas e serviços necessários para proteger seus ativos digitais de forma eficaz. Ao aproveitar nossa detecção de vulnerabilidades em tempo real, gerenciamento automatizado de patches e proteção abrangente de firewall, você pode garantir que seu site permaneça seguro contra ameaças emergentes.

Para mais informações sobre como o WP-Firewall pode ajudar você a proteger seus sites WordPress, visite nosso site e explore nossa gama de soluções de segurança.

Fique seguro e protegido com o WP-Firewall.

Você achou este relatório útil? Compartilhe-o com sua rede no Facebook, Twitter e LinkedIn.

Assine nossa lista de e-mails para receber relatórios semanais de vulnerabilidades e atualizações importantes de segurança do WordPress diretamente na sua caixa de entrada.

Este site usa cookies de acordo com nossa Política de Privacidade. Personalize suas configurações de cookies abaixo.

• Estritamente necessário: Esses cookies são essenciais para o funcionamento do site e não podem ser desativados.
• Desempenho/Analítico: Esses cookies nos ajudam a entender como você navega no site e a melhorá-lo.
• Segmentação: Esses cookies fornecem informações e anúncios relevantes.

Apêndice: Lista completa de plugins do WordPress com vulnerabilidades relatadas na semana passada (27 de maio a 2 de junho de 2024)