O Wordfence publicou um aviso no plug -in do WordPress Malcure Malware Scanner, que foi descoberto como tendo uma vulnerabilidade classificada em um nível de gravidade de 8,1. No momento da publicação, não há patch para corrigir o problema.

Captura de tela mostrando 8,1 classificação de gravidade

Malcure Malware Scanner Vulnerabilidade

O plug -in Malcure Malware Scanner, instalado em mais de 10.000 sites do WordPress, é vulnerável à “exclusão de arquivos arbitrários devido a uma verificação de capacidade ausente na função WPMR_DELETE_FILE ()” por atacantes autenticados. O fato de um invasor precisar de autenticação como usuário torna um pouco menos provável para ser explorado, mas não muito porque requer apenas a autenticação de nível de assinante, que é o nível mais baixo de autenticação. A função “Assinante” é o nível padrão de registro em um site do WordPress (se for permitido o registro).

De acordo com Wordfence:

“Isso possibilita que os atacantes autenticados, com acesso no nível do assinante e acima, para excluir arquivos arbitrários, possibilitando a execução do código remoto. Isso só é explorável quando o modo avançado é ativado no site”.

Não existe um patch conhecido disponível para o plug -in e os usuários são advertidos para tomar as ações necessárias, como a desinstalação do plug -in para mitigar o risco.

Atualmente, o plug -in não está disponível para download com um aviso mostrando que está sob revisão.

Captura de tela do plug -in malcure no repositório do WordPress

Leia mais notícias do WordPress

Atualização do WordPress 6.8.2 – encerra o suporte de segurança para 0,9% dos sites

Imagem em destaque de Shutterstock/Kues