Um popular plugin utilizado por desenvolvedores que possuem sites feitos com a plataforma Wordpress pode acabar deixando a página vulnerável e facilitando a invasão de hackers. De acordo com as informações que foram divulgadas por pesquisadores da Wordgence, duas falhas foram encontmradas no plugin que está instalado em mais de 1 milhão de sites.
O plugin em questão é o Gutenberg Template Library & Redux Framework. Os pesquisadores afirmam que nenhuma das falhas encontradas podem ser utilizadas diretamente para assumir o controle do site, mas ambas as vulnerabilidades podem ser ferramentas úteis nas mãos de um hacker que tenha habilidades invasoras mais avançadas.
A primeira falha é considerada de alta gravidade e tem classificação 7,1 na escala que vai até 10 da Common Vulnerability Scoring System (CVSS). A brecha de segurança surge com o uso do plugin da API REST, que processa solicitações para instalar e gerenciar os blocos do sistema Gutemberg.
Essa é uma falha que acaba mexendo diretamente com as permissões do site, criando diversas brechas. Usuários com menos privilégios, como colaboradores e autores, teriam a capacidade de instalar qualquer plugin no site, aponta a empresa.
O segundo problema encontrado foi classificado como de gravidade média em 5,3 na escala CVSS. O erro poderia ser utilizado para obter informações potencialmente confidenciais, como a versão do PHP, plugins ativos no site e suas versões. Os dados podem ser utilizados em ataques mais robustos, incluindo uma possível invasão.
A empresa responsável pelo plugin afirma que as falhas já foram corrigidas e que os usuários devem atualizar os plugins imediatamente nas suas páginas.