O CartPress, um plugin de e-commerce usado por milhares de sites construídos com WordPress, tem diversas falhas de segurança – que colocam sites em risco de invasão e estão sem correção até este instante, porque o desenvolvedor suspenderá o suporte ao plugin em junho.
As falhas permitem que os bandidos executem códigos PHP, exibem dados sensíveis e façam ataques Cross-Site Scripting (XSS) em qualquer instalação que use o complemento, segundo pesquisadores da empresa High Tech Bridge.
O mais grave, segundo os analistas de segurança é que por conta desta falha, o cracker pode fazer com que o administrador real execute sem conhecimento o código malicioso através de uma outra página. Esta técnica é conhecida como CSRF (cross-site request forgery).
Outra falha permite ainda que um usuário não autorizado veja os pedidos enviados por usuários do site que usa o plugin.
Entre as questões XSS, existem problemas tanto no painel administrativo como nas páginas abertas aos usuários. Essas falhas fazem com que os usuários ajam como crackers através de URL’s disfarçadas. Claro que os ataques aos administradores são os mais arriscados.
Segundo a empresa de segurança, eles tentaram notificar os desenvolvedores desde o dia oito de abril, quando já existia o anúncio público de que o suporte ao plugin seria descontinuado em 1º de junho.
Como não há indicação de que estas falhas serão corrigidas, a única alternativa é desinstalar o plugin (que faz parte do repositório oficial do WordPress), que está rodando em 5 mil instalações ativas.
Via: ITWorld
Foto: Arquivo