Vulnerabilidade crítica de desvio de autenticação corrigida no plug-in de segurança SiteGround
- Quinta, 7th Abril, 2022
- 12:26pm
Em 10 de março de 2022, a equipe do Wordfence Threat Intelligence iniciou o processo de divulgação responsável de uma vulnerabilidade que descobrimos no “SiteGround Security”, um plugin do WordPress instalado em mais de 400.000 sites. Essa falha possibilita que invasores obtenham acesso de usuário administrativo em sites vulneráveis quando a autenticação de dois fatores (2FA) está habilitada, mas ainda não configurada para um administrador.
Wordfence Premium , Wordfence Care e Wordfence Response receberam um conjunto de regras de firewall em 10 de março de 2022 para fornecer proteção contra qualquer invasor que tente explorar essa vulnerabilidade. Os usuários do Wordfence Free receberão essa mesma proteção 30 dias depois, em 9 de abril de 2022
Depois de enviar os detalhes completos da divulgação para a equipe de segurança do SiteGround em 10 de março de 2022, um patch foi lançado no dia seguinte, 11 de março de 2022. Embora o plug-in tenha sido corrigido parcialmente imediatamente, ele não foi corrigido de maneira otimizada até 7 de abril de 2022.
Os sites hospedados na plataforma SiteGround foram atualizados automaticamente para a versão corrigida, enquanto os hospedados em outro lugar exigirão uma atualização manual, se as atualizações automáticas não estiverem habilitadas para o plug-in. É altamente recomendável garantir que seu site tenha sido atualizado para a versão mais recente do “SiteGround Security”, que é a versão 1.2.6 no momento desta publicação.
