Falha no WordPress permite execução de código malicioso

O WordPress é um dos scripts CMS mais utilizados na Internet para o mais variado género de websites. Portanto, qualquer falha que existe no mesmo pode ser considerada grave, uma vez que afeta uma grande parte dos maiores websites existentes.

Recentemente foi descoberta uma vulnerabilidade que afeta todas as versões mais recentes do WordPress, e permite a execução remota de código malicioso nos sistemas. A descoberta foi feita pelo investigador Zhouyuan Yang, da FortiGuard Labs, e segundo o mesmo afeta todas as versões do WordPress entre a 5.0 e 5.2.2 – ou seja, todas as versões do Gutenberg.

De acordo com o investigador, a falha afeta o sistema de shortcodes do Gutenberg, que não realiza a filtragem de código CSS ou javascript do mesmo. Consequentemente, qualquer utilizador com permissões para enviar conteúdos no site pode aproveitar esta falha para introduzir código nas mensagens.

Os Shortcodes são normalmente utilizados para apresentar conteúdos em posts e mensagens enviadas para o WordPress. O investigador descobriu, no entanto, que, através do uso de certos caracteres, é possível contornar as limitações deste sistema e introduzir código CSS ou Javascript no mesmo, potencialmente levado a casos onde mensagens sejam partilhadas com conteúdo maliciosos.

A falha pode ser explorada por qualquer utilizador que tenha permissões de escrita nos sites WordPress, e os visitantes do mesmo podem assim ser alvo de possíveis ataques através das mensagens publicadas.

Este problema foi entretanto corrigido com a atualização para o WordPress 5.2.3, sendo que todos os administradores de sistemas são aconselhados a realizarem a atualização o mais rapidamente possível.