Vulnerabilidade do plug-in WP Go Maps afeta até 300 mil sites WordPress

Vulnerabilidade do plug-in WP Go Maps afeta até 300 mil sites WordPress


Um comunicado de segurança foi publicado sobre uma vulnerabilidade que afeta o plugin WP Go Maps para WordPress instalado em mais de 300.000 sites. A falha permite que assinantes autenticados mapeiem as configurações do mecanismo.

Plug-in WP Go Maps

O plugin WP Go Maps é usado por sites WordPress de empresas locais para exibir mapas personalizáveis ​​​​em páginas e postagens, incluindo mapas de páginas de contato, áreas de entrega e locais de lojas. Os proprietários de sites podem gerenciar marcadores e configurações de mapa sem escrever código.

O plugin tinha quatro vulnerabilidades em 2025 e sete vulnerabilidades em 2024. Vulnerabilidades foram descobertas nos anos anteriores, desde 2019, mas não com tanta frequência.

Vulnerabilidade

A vulnerabilidade pode ser explorada por invasores autenticados com acesso de nível de assinante ou superior. A função de Assinante é a função de permissão mais baixa do WordPress. Isso significa que um invasor só precisa de uma conta de usuário básica para explorar o problema, mas somente se esse nível de conta for oferecido aos usuários nos sites afetados.

A vulnerabilidade é causada por uma verificação de capacidade ausente no plugin processBackgroundAction() função. Uma verificação de capacidade é usada para verificar se um usuário conectado tem permissão para executar uma ação específica. Como esta verificação está faltando, a função processa solicitações de usuários que não têm permissão para alterar as configurações do plugin.

Como resultado, invasores autenticados com acesso em nível de assinante podem modificar as configurações do mecanismo de mapa global usado pelo plug-in. Essas configurações se aplicam a todo o site e afetam o funcionamento do plug-in em todo o site.

Wordfence descreveu a vulnerabilidade como uma modificação não autorizada de dados causada por uma verificação de capacidade ausente. Na prática, isso significa que o plugin permite que usuários com poucos privilégios alterem configurações globais que deveriam ser restritas aos administradores.

O comunicado do Wordfence explica:

“O plug-in WP Go Maps (anteriormente WP Google Maps) para WordPress é vulnerável à modificação não autorizada de dados devido a uma verificação de capacidade ausente na função processBackgroundAction() em todas as versões até 10.0.04 inclusive. Isso possibilita que invasores autenticados, com acesso de nível de assinante e superior, modifiquem as configurações do mecanismo de mapa global”

Qualquer site que execute uma versão afetada do plug-in com registro de assinante habilitado fica exposto a invasores autenticados.

A vulnerabilidade afeta todas as versões do WP Go Maps até a versão 10.0.04 inclusive. Um patch está disponível. Recomenda-se que os proprietários de sites atualizem o plugin WP Go Maps para a versão 10.0.05 ou mais recente para corrigir a vulnerabilidade.

Imagem em destaque por Shutterstock/Dean Drobot



Source link

Postagens Similares

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *