Duas vulnerabilidades descobertas no plugin Jupiter X Core do WordPress

O Jupiter X Core é um plugin premium usado por sites WordPress e WooCommerce. No entanto, os administradores de sistemas com o mesmo são aconselhados a atualizarem para a versão mais recente, tendo em conta a descoberta de uma falha recente.

O Jupiter X Core faz parte do tema Jupiter X, que se encontra atualmente em uso por mais de 172.000 websites baseados em WordPress. No entanto, o investigador de segurança Rafie Muhammad revelou ter descoberto duas falhas no mesmo, que quando exploradas, podem permitir o envio de conteúdos para o alojamento dos sites sem autenticação.

A falha afeta todas as versões do plugin abaixo da 3.3.5, sendo que a correção foi oficialmente lançada com a versão 3.3.8. Se explorada, a falha permite que utilizadores não autenticados possam enviar ficheiros para os sites, potencialmente colocando em risco os conteúdos do mesmo e da conta.

A segunda falha descoberta permite ainda que os utilizadores possam entrar na conta de um utilizador do WordPress, apenas necessitando de saber o email da mesma. Neste caso, a correção foi lançada com a versão 3.4.3, sendo que todas as anteriores encontram-se afetadas.

Os utilizadores que usem o plugin JupiterX Core são aconselhados a atualizarem imediatamente para a nova versão 3.4.3, de forma a evitarem a exploração das falhas. Tendo em conta que estas são do conhecimento público, podem agora começar a ser ativamente exploradas.