Falha crítica descoberta em plugin do WordPress com 200 mil instalações
Se utiliza o WordPress como base para o seu site, é recomendado que verifique se possui o plugin “Ultimate Member” atualizado – caso o esteja a usar. Este plugin é bastante popular em sites WordPress, tendo mais de 200.000 instalações ativas.
Este plugin permite aos administradores de sites WordPress terem a capacidade de criar perfis para os utilizadores e membros do mesmo. No entanto, foi recentemente descoberta uma falha que, quando explorada, pode permitir que se contorne as medidas de segurança do WordPress e tenha acesso ao painel de administração do mesmo.
A falha afeta todas as versões do plugin até à 2.6.6 (a mais recente), e tendo em conta que pode permitir o acesso à conta de administração do site, encontra-se classificada como sendo grave.
De acordo com os investigadores da empresa Wordfence, responsáveis pela descoberta, a falha encontra-se a ser ativamente explorada para ataques, e uma vez que não possui uma correção ativa, pode ser rapidamente usada para adulterar sites WordPress.
Os programadores responsáveis pelo plugin afirmam que ainda se encontram a trabalhar para resolver as falhas. No entanto, tendo em conta que ainda não existe uma solução definitiva para o problema, a recomendação atual será para os administradores de sites WordPress removerem o plugin de forma imediata.
De notar que a desativação do plugin pode não resolver inteiramente a falha, uma vez que os ficheiros do mesmo ainda permanecem na conta dos utilizadores. A única forma de evitar a exploração será remover inteiramente o plugin.