Jump to content
  • A equipe de desenvolvimento do NextGEN Gallery corrigiu duas vulnerabilidades graves para proteger os sites de possíveis ataques de controle. O plugin do WordPress é usado para criar galerias de imagens e, segundo o BleepingComputer, tem atualmente mais de 800 mil instalações ativas.

    As falhas encontradas no plugin são de cross-site request forgery (CSRF), que permite que comandos não autorizados sejam transmitidos a partir de um usuário em quem a aplicação confia. Assim, a atualização de segurança deve ser uma prioridade para todos os proprietários de sites que têm o NextGEN Gallery instalado.

    As duas vulnerabilidades de segurança são classificadas como de severidade alta e crítica pela equipe de Threat Intelligence do Wordfence que as descobriu, segundo o BleepingComputer. Atacantes podem explorar essas falhas enganando os administradores do WordPress para que eles cliquem em links ou anexos especialmente criados para executar códigos maliciosos em seus navegadores.

    Após a exploração bem-sucedida, as vulnerabilidades podem permitir que os invasores configurem um redirecionamento malicioso, injetem spam, abusem de sites comprometidos para phishing e, em última análise, assumam completamente o controle dos sites.

    O editor do plugin, Imagely, enviou patches para revisão em 16 de dezembro e publicou a versão 3.5.0, corrigida, em 17 de dezembro de 2020. Ainda assim, a nova versão tinha esta semana pouco mais de 266 mil novos downloads, conforme informa o BleepingComputer, o que significa que mais de 530 mil sites WordPress com instalações do NextGEN Gallery ativas estão potencialmente expostas a ataques de controle se os invasores começarem a explorar os bugs?


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...