Falha perigosa em plug-in popular do WordPress recebe atualização

IDG News Service
12 de julho de 2016 - 09h42
Usuários do publicador devem atualizar o plug-in “All in One SEO Pack” assim que possível, aconselha pesquisador de segurança

Caso você tenha um site WordPress e o amplamente popular plug-in “All in One SEO Pack” instalado, talvez seja uma boa ideia você atualizá-lo assim que possível. A última versão disponível desde sexta-feira (08) repara uma falha que poderia sequestrar a conta de administrador do site. 

A vulnerabilidade se encontra no plug-in Bot Blocker e pode ser explorada remotamente ao enviar solicitações HTTP com cabeçalhos criados especificamente para o site. 

O recurso foi desenhado para detectar e bloquear bots de spam em seu agente de usuário e se refere a valores de cabeçalho, de acordo com o pesquisador de segurança, David Vaartjes, que encontrou e relatou a falha. 

Se o recurso “Track Blocked Bots” estiver habilitado, o plug-in irá logar todas as solicitações que foram bloqueadas e as mostrará em uma página HTML dentro do painel do administrador do site. 

Porém, uma vez que o plug-in falha em resolver propriamente as solicitações antes de apresentá-las, hackers poderiam injetar códigos JavaScript maliciosos nos cabeçalhos, permitindo que o código termine como uma parte da página HTML.

A desenvolvedora do "All in One SEO Pack", uma companhia chamada Semper Fi Web Design – liberou a versão 2.3.7 do reparo para vulnerabilidade. Usuários são aconselhados a atualizarem para esta versão assim que possível ou garantir que o recurso Track Blocked Bots está habilitado. 

O All in One SEO Pack oferece otimização do motor de busca o que leva a aumentar a visibilidade do site em resultados de busca. De acordo com as estatísticas do repositório de plug-ins do WordPress, trata-se de um plug-in bastante popular, com mais de 1 milhão de instalações ativas.