top of page

Plugin para wordpress - Convert Plus - permite aos atacantes criarem contas de administradores

Esta falha pode ser explorada por um atacante não autenticado.

A raiz do problema encontra-se na falta de sanitização ou filtração aquando do processamento de uma nova subscrição de utilizador através de um formulário implementado pelo Convert Plus que já conta com milhares de instalações.

O objetivo do plugin é essencialmente gerar mais subscritores através, por exemplo, de popus, barras no top e rodapé da página, widgets, etc.

Os especialistas descobriram que num formulário par novos subscritores existe um campo "escondido" designado por "cp_set_user" e que o seu valor pode ser usado pelo mesmo pedido HTTP usado para o resto das entradas de novos subscritores, e os utilizadores podem modificar este campo.

Versões afetadas:

Todas até à 3.4.2

Versão corrigida

3.4.3.

Fonte: https://cyware.com/news/critical-vulnerability-in-convert-plus-wordpress-plugin-lets-attacker-create-admin-accounts-f2257ce0

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page