Malware descoberto em gravidade formulário plugin wordpress

Malware descoberto em gravidade formulário plugin wordpress


A empresa de segurança do WordPress Patchstack publicou um aviso sobre uma séria vulnerabilidade em formas de gravidade causadas por um ataque da cadeia de suprimentos. Os formulários de gravidade responderam imediatamente e divulgaram uma atualização para corrigir o problema.

Ataque da cadeia de suprimentos

O PatchStack está monitorando um ataque a um plug -in do WordPress no qual os atacantes enviaram uma versão infectada do plug -in diretamente para o repositório do editor e buscaram outros arquivos de um nome de domínio semelhante ao domínio oficial. Isso, por sua vez, levou a um compromisso sério de sites que usaram esse plug -in.

Um ataque semelhante foi observado em formas de gravidade e foi imediatamente abordado pelo editor. O código malicioso foi injetado em formas de gravidade (especificamente em GravityForms/Common.php) pelos atacantes. O código fez com que o plug -in, quando instalado, para fazer solicitações de postagem HTTP para o domínio desonesto Gravityapi.org, que foi registrado apenas alguns dias antes do ataque e controlado pelo atacante.

O plug -in comprometido enviou informações detalhadas do site e do servidor para o servidor do atacante e ativou a execução do código remoto nos sites infectados. No contexto de um plug -in do WordPress, uma vulnerabilidade de execução de código remoto (RCE) ocorre quando um invasor pode executar código malicioso em um site direcionado a partir de um local remoto.

Patchstack explicou a extensão da vulnerabilidade:

“… pode executar vários processos:

  • Carregue um arquivo arbitrário para o servidor.
  • Liste todas as contas de usuário no site WordPress (ID, nome de usuário, email, nome de exibição).
  • Exclua qualquer conta de usuário no site WordPress.
  • Execute listagens de arquivos e diretórios arbitrários no servidor WordPress. ”

Esse último significa que o invasor pode visualizar qualquer arquivo, independentemente das permissões, que incluiriam o arquivo wp-config.php que contém credenciais de banco de dados.

As formas de gravidade respondem

Rocketgenius, os editores das formas de gravidade, tomou medidas imediatas e enviou uma versão fixa do plug -in imediatamente, no mesmo dia. O registrador de nomes de domínio, Namecheap, suspendeu o domínio de digitação desonesto, que efetivamente bloqueou quaisquer sites comprometidos de entrar em contato com os atacantes.

O Gravity Forms lançou uma atualização para o plug -in, versão 2.9.13. Os usuários podem considerar atualizar para a versão mais recente.

Leia mais no Patchstack:

Malware encontrado no plug -in oficial da gravidade, indicando violação da cadeia de suprimentos

Imagem em destaque de Shutterstock/Warm_tail



Source link

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *