Falha em plugin do WordPress explorada 24 horas depois de revelada
Recentemente foi descoberta uma nova falha sobre o plugin do WordPress “Advanced Custom Fields”, e de acordo com a análise dos investigadores de segurança, esta falha já se encontra a ser ativamente explorada para ataques – menos de 24 horas depois de ter sido confirmada.
A falha, classificada sobre o código CVE-2023-30777, pode permitir que utilizadores não autenticados em sites WordPress obtenham acesso administrativo no mesmo, com o potencial de roubo de dados ou acesso a conteúdos da área de administração e base de dados.
A falha foi inicialmente descoberta no dia 2 de Maio de 2023, pelos investigadores da empresa de segurança Patchstack. No entanto, apenas no dia 5 de Maio a falha foi corrigida, quando foi confirmado o lançamento da versão 6.1.6 – que integra a correção.
No entanto, de acordo com os investigadores da Akamai Security Intelligence Group (SIG), no dia 6 de Maio, menos de 24 horas depois da falha ter sido revelada publicamente, foi identificado um aumento considerável de ataques que estariam a tentar explorar esta falha, aproveitando instalações que ainda poderiam conter versões antigas do plugin.
O mais interessante será que, neste ataque, o mesmo aparenta ter sido realizado apenas por uma fonte, que terá usado a prova de ataque inicialmente revelada para identificar instalações vulneráveis.
De momento, ainda existem mais de 1.4 milhões de sites que não atualizaram para a versão mais recente, pelo que o potencial de ataque ainda é elevado. Para os administradores de sites WordPress, o recomendado será que seja feita a atualização para a versão mais recente existente o quanto antes.