we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

2 fev, 2017

WordPress manteve usuários no escuro enquanto secretamente corrigia falha crítica

Redação iMasters

Redação iMasters
Publicidade

Na semana passada, o WordPress lançou a versão mais recente (4.7.2) do seu popular CMS, aparentemente corrigindo três problemas de segurança que afetam as versões 4.7.1 e anteriores.

O que a equipe do WordPress não compartilhou na época, segundo o site Help Net Security, é que a atualização também corrige secretamente um bug que permite que usuários não autenticados modifiquem o conteúdo de qualquer post ou página em um site do WordPress.

A vulnerabilidade foi descoberta pelo pesquisador da Sucuri Marc-Alexandre Montpas e divulgada de forma responsável para equipe de segurança do WordPress em 20 de janeiro. Uma correção foi logo criada, testada e incluída na atualização de segurança divulgada em 26 de janeiro.

[awprm urls=https://imasters.com.br/cms/wordpress/wordpress-4-7-para-desenvolvedores/ ,https://imasters.com.br/cms/wordpress/wordpress-para-obter-atualizacoes-criptograficas-seguras/]

A equipe contatou fabricantes de firewalls de aplicativos web (WAFs) como SiteLock, Cloudflare e Incapsula para ajudá-los a criar regras que bloqueariam tentativas de exploração. Hosts do WordPress foram confidencialmente informados sobre a falha, e se movimentaram em segredo para proteger seus usuários.

“Na tarde de quarta-feira, a maioria dos hosts com os quais trabalhamos tinha proteções prontas. Os dados dos quatro WAFs (incluindo a Sucuri) e os hosts do WordPress não mostraram nenhuma indicação de que a vulnerabilidade havia sido explorada”, informou a equipe de segurança do WP na quarta-feira. “Como resultado, tomamos a decisão de atrasar a divulgação dessa questão específica para dar tempo de as atualizações automáticas serem executadas e garantir que o maior número possível de usuários tivessem sido protegidos antes de o problema se tornar público”.

Algumas horas após o lançamento da atualização, os usuários do WordPress que fizeram a atualização automática do CMS tiveram o WP 4.7.2 instalado e ficaram protegidos. Usuários que não têm atualizações automáticas ativadas em seu site agora são aconselhados a fazer o update o mais rapidamente possível.

A vulnerabilidade de escalonamento de privilégios não autenticada em questão afeta a API REST, que foi adicionada e ativada por padrão no WordPress 4.7.0. Para mais detalhes técnicos, confira este texto da Sucuri.

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters