A equipe do Wordfence publicou detalhes sobre uma falha de segurança identificada em 13 de março de 2021 responsável por uma vulnerabilidade no WP Statistics, um plugin instalado em mais de 600.000 sites WordPress.
A vulnerabilidade permitiu que qualquer visitante do site extraísse informações confidenciais do banco de dados de um site por meio de SQL injection cega baseada em tempo.
Um patch para esta vulnerabilidade foi lançado em 25 de março de 2021 pela equipe da WP Statistics em resposta ao aviso da Wordfence.
O relatório original indicava que um invasor precisava ser autenticado para aproveitar a vulnerabilidade, mas depois, foi descoberto que que ela também pode ser explorada por qualquer usuário.
Conteúdo desta página
Sobre o plugin WP Statistics
WP Statistics é um plugin do WordPress que permite que os proprietários de sites vejam estatísticas detalhadas sobre os visitantes de seu site, incluindo quais páginas do site eles visitam. Como administrador, acessar o item de menu WP Statistics “Pages” gera uma consulta SQL para exibir estatísticas sobre quais páginas receberam mais tráfego.
Invasão através do menu WP Statistics > Page
Embora a página “Páginas” fosse destinada apenas a administradores e não exibisse informações para usuários não administradores, era possível começar a carregar o construtor desta página enviando uma solicitação para wp-admin / admin.php com o parâmetro de página definido como wps_pages_page . Como a consulta SQL foi executada no construtor da página “Páginas”, isso significava que qualquer visitante do site, mesmo aqueles sem um login, poderia fazer com que essa consulta SQL fosse executada. Um agente malicioso pode então fornecer valores maliciosos para os parâmetros de ID ou tipo.
Que dados foram vazados?
Para este esta vulnerabilidade, seria um processo relativamente lento e impraticável para extrair registros em massa, mas informações de alto valor, como e-mails de usuário, hashes de senha e chaves de criptografia podem ser extraídos em questão de horas com a ajuda de ferramentas automatizadas.
Em um ataque direcionado, essa vulnerabilidade pode ser usada para extrair informações de identificação pessoal de lojas virtuais que contêm informações de clientes. Isso ressalta a importância de ter proteções de segurança, onde quer que dados confidenciais sejam armazenados.
Eu tenho o plugin! O que fazer?
Se você tiver este plugin instalado em seu site, recomendamos que você atualize para a versão corrigida, 13.0.8, o mais rápido possível. Se você tem um amigo ou colega que está usando este plug-in em seu site, recomendamos encaminhar este aviso a eles para ajudar a manter seus sites protegidos, pois esta vulnerabilidade permite que invasores acessem dados confidenciais armazenados no banco de dados de um site.
Importante falar com seu desenvolvedor e rastrear se houve vazamento de dados, principalmente se forem sensíveis dos seus clientes. É uma obrigação legal comunicar aos usuários sobre esse vazamento.
Os clientes Sites&Cia podem ficar tranquilos. Nenhum foi afetado por essa falha no plugin. Tomamos precauções extras para evitar esse tipo de invasão, mesmo que seu site utilize WordPress e o Wp Statistics.