Vulnerabilidade Zero Day corrigida no Ultimate Form Builder Lite
- mardi, 24 octobre, 2017
- 00:44
No mês passado, identificamos três plugins com vulnerabilidades críticas de injeção de objetos , todos sendo explorados na natureza. Implementamos regras de firewall novas e melhoradas para bloquear esse tipo de exploração.
Ao analisar nossos dados de ataque, descobrimos recentemente que os hackers exploravam ativamente uma vulnerabilidade similar no Formulário de Contato para WordPress - Ultimate Form Builder Lite plugin por AccessPress Themes. O plugin possui 50.000 instalações ativas de acordo com o WordPress.org.
O recurso que está sendo usado combina uma vulnerabilidade de injeção de SQL e uma vulnerabilidade de injeção de objeto PHP. Ele permite que os invasores assumam um site vulnerável usando apenas um pedido para /wp-admin/admin-ajax.php.
Nós notificamos o autor do plugin em 13 de outubro, quando encontramos o problema. Também implementamos regras de firewall em 13 de outubro para proteger os clientes do Wordfence Premium, dentro de uma hora de descobrir o problema e notificar o autor.
O autor corrigiu esta vulnerabilidade em uma atualização, versão 1.3.7 , que foi lançada ontem, 23 de outubro.
CVSS Pontuação: 9.8 (Crítica)
O que fazer
Nós publicamos uma regra de firewall para bloquear esta exploração dentro de uma hora de encontrá-la, em 13 de outubro. Se você estiver executando a versão Premium do Wordfence e tiver o firewall ativado, esta regra já está protegendo você.
Os usuários gratuitos do Wordfence e usuários pagos que têm o firewall Wordfence desabilitado e estão executando este plugin devem atualizar para a versão 1.3.7 imediatamente. Esta regra de firewall ficará disponível para usuários grátis do Wordfence em 12 de novembro.