Uma falha crítica no plugin pode e tem vindo a ser explorado por atacantes para executarem código remotamente nos sistemas afetados.
De momento, o plugin está instalado em dezenas de milhares de websites e, de acordo com a Wordfence, a falha tem sido ativamente explorada como zero-day.
O objetivo do plugin é que os utilizadores consigam várias "skins" para a aparência dos sites.
Onde reside a falha?
A falha reside essencialmente no ficheiro ~/includes/plugin.rest-api.php. Para haver compatibilidade com o plugin Gutenberg, o plugin de Addons ThemeRex usa o endpoint de REST /trx_addons/v2/get/sc_layout, que por sua vez chama a função trx_addons_rest_get_sc_layout”.
Assim que a API interage com o Gutenberg, os endpoints são os touchpoints dessa comunicação.
Desta forma, os investigadores reparam numa funcionalidade usada nos parâmetros GET dos widgets presentes no plugin Gutenberg, e aí se encontrava a razão de ser da falha de execução de código remota.
Com esta vulnerabilidade, o atacante podia usar a função wp_insert_user, de forma a criar contas administrativas de utilizador e tomar o controlo de sites com esse plugin vulnerável.
Os desenvolvedores do ThemeRex já a corrigiram, removendo o ficheiro ~/plugin.rest-api.php do código fonte.
Mais informações: https://threatpost.com/themerex-wordpress-plugin-remote-code-execution/153592/