O Social Warfare é um plugin popular de Wordpress com centenas de milhares de downloads, permitindo que o administrador adicione botões de partilha a um site wordpress.
Recentemente, foram descobertas campanhas maliciosas a usar duas vulnerabilidades críticas deste plugin para tomar controlo dos sites wordpress que o estejam a utilizar.
As vulnerabilidades encontradas correspondem a um XSS ou Cross-site scripting, e uma execução de código remota, ambas tratadas como CVE-2019-9978. De notar que a primeira falha tem sido usada para redirecionar os utilizadores para sites maliciosos e, por exemplo, infetar o seu sistema para minerar moedas.
A exploração destas falhas é possível abusando da função is_admin() do Wordpress.
Versão corrigida
3.5.3
Fonte: https://threatpost.com/exploits-social-warfare-wordpress/144051/