Vulnerabilidade do Page Builder da SiteOrigin WordPress afeta até 500 mil sites
Um comunicado foi publicado sobre uma vulnerabilidade de alta gravidade descoberta no plugin Page Builder by SiteOrigin WordPress, que está instalado em mais de 500.000 sites. Esta é a terceira vulnerabilidade descoberta no SiteOrigin Page Builder em 2026. A vulnerabilidade é classificada como 8,8 na escala de gravidade CVSS.
O que o plug-in faz
Page Builder da SiteOrigin é um construtor de layout de arrastar e soltar para WordPress. Ele permite que os proprietários de sites criem designs de páginas responsivos baseados em colunas usando widgets padrão do WordPress. Os usuários podem construir páginas visualmente sem escrever código.
Por funcionar com a maioria dos temas e não exigir conhecimento de codificação, é amplamente utilizado em sites empresariais e pessoais.
Requer acesso em nível de colaborador
A vulnerabilidade requer autenticação. Um invasor deve ter acesso de nível de Colaborador ou superior. Um Colaborador é uma das funções de usuário mais baixas do WordPress. Os colaboradores podem criar e enviar postagens, mas não podem publicá-las. Isso significa que a vulnerabilidade não requer acesso de administrador, mas requer uma conta.
Vulnerabilidade de inclusão de arquivos locais
O plugin é vulnerável à inclusão de arquivo local em todas as versões até 2.33.5 inclusive.
Inclusão de arquivo local significa que o plugin pode ser forçado a carregar arquivos do servidor sem restringir adequadamente quais arquivos são permitidos.
O problema existe na função localizar_template().
O que deu errado
O plugin não restringe adequadamente quais arquivos podem ser incluídos por meio da função localizar_template().
Essa função só deve carregar arquivos de modelo aprovados.
O que os invasores podem fazer
Como a restrição está faltando, um invasor autenticado pode fazer com que o plug-in inclua arquivos arbitrários que já existem no servidor.
Se um invasor puder fazer upload de um arquivo para o servidor, ele poderá forçar o plug-in a incluir esse arquivo e executá-lo como código PHP.
De acordo com o comunicado oficial do Wordfence:
“O plugin Page Builder by SiteOrigin para WordPress é vulnerável à inclusão de arquivos locais em todas as versões até 2.33.5, inclusive, por meio da função localizar_template(). Isso possibilita que invasores autenticados, com acesso de nível de Colaborador e superior, incluam e executem arquivos arbitrários no servidor, permitindo a execução de qualquer código PHP nesses arquivos.
Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos onde imagens e outros tipos de arquivos “seguros” podem ser carregados e incluídos.”
Versões afetadas e corrigidas
A vulnerabilidade afeta as versões do plugin Page Builder by SiteOrigins: 2.33.5 e anteriores. O problema foi corrigido na versão 2.34.0.
Ações recomendadas para proprietários de sites
Os proprietários de sites que usam o Page Builder da SiteOrigin devem atualizar para a versão 2.34.0 ou mais recente. Se a atualização não for possível, desative o plugin até que ele possa ser atualizado.
Imagem em destaque por Shutterstock/Jan phanomphrai
