Vulnerabilidade do WPBakery WordPress permite que invasores injetem código malicioso
Um comunicado foi emitido para o popular plugin WPBakery, incluído em milhares de temas WordPress. A vulnerabilidade permite que invasores autenticados injetem scripts maliciosos que são executados quando alguém visita uma página afetada.
Plug-in WPBakery
WPBakery é um plug-in de criação de páginas de arrastar e soltar para WordPress que permite aos usuários criar facilmente layouts e sites personalizados sem escrever código. WPBakery é frequentemente fornecido com temas premium. Os desenvolvedores de temas licenciam-no para que possam trazer o poder da funcionalidade de arrastar e soltar do construtor de páginas para seus temas WordPress.
Vulnerabilidade WPBakery
Descobriu-se que o plug-in WPBakery Page Builder WordPress tem higienização de entrada e escape de saída insuficientes em seu módulo JS personalizado.
A limpeza insuficiente de entrada e o escape de saída são falhas que permitem que invasores carreguem código malicioso em um site e fazem com que o site afetado gere código malicioso. Em geral, isso pode levar a vulnerabilidades como Cross-Site Scripting (XSS) e SQL Injection.
- O Input Sanitization filtra os dados do usuário carregados antes de serem armazenados ou processados pelo plug-in.
- O escape de saída converte caracteres com significados HTML em saída segura antes de serem exibidos em uma página da web. Isso evita que o código executável seja enviado para uma página da Web ativa e afete os usuários.
Essa falha permite que invasores com acesso de contribuidor ou superior injetem scripts arbitrários nos sites afetados. A vulnerabilidade afeta versões do plugin WPBakery até a versão 8.6.1 inclusive.
Os usuários do plugin são incentivados a atualizar para a versão mais recente do WPBakery, que atualmente é a versão 8.7.
Imagem em destaque da Shutterstock/papel de parede de arte 3D
