Em 5 de novembro de 2021, a equipe de inteligência do Wordfence iniciou o processo de divulgação de uma vulnerabilidade encontrada no plugin “ Login/Signup Popup ”, um plugin do WordPress instalado em mais de 20.000 sites.
Poucos dias depois descobrimos a mesma vulnerabilidade presente em dois plugins adicionais desenvolvidos pelo mesmo autor: “ Side Cart Woocommerce (Ajax) ”, instalado em mais de 60.000 sites, e “ Waitlist Woocommerce ( Back in stock notifier ) ”, instalado em mais de 4.000 locais.
Essa falha possibilitou que um invasor atualizasse opções de site arbitrárias em um site vulnerável, desde que pudesse induzir o administrador de um site a realizar uma ação, como clicar em um link.
Todos os usuários do Wordfence, incluindo clientes do Wordfence Premium e usuários gratuitos do Wordfence, estão protegidos contra qualquer invasor que tente explorar essa vulnerabilidade.
Os usuários do Wordfence Premium receberam uma regra de firewall para proteger contra quaisquer explorações direcionadas a essas vulnerabilidades em 5 de novembro de 2021. Os sites que ainda usam a versão gratuita do Wordfence receberam a mesma proteção em 5 de dezembro de 2021.
Enviamos os detalhes completos da divulgação em 5 de novembro de 2021, depois que o desenvolvedor confirmou o canal apropriado para lidar com as comunicações. Após vários acompanhamentos, uma versão corrigida de “Login/Signup Popup” foi lançada em 24 de novembro de 2021, enquanto as versões corrigidas de “Side Cart Woocommerce (Ajax)” e “Waitlist Woocommerce (Back in stock notifier)” foram lançadas em dezembro 17, 2021.
É altamente recomendável garantir que seu site tenha sido atualizado para a versão mais recente corrigida de qualquer um desses plugins, que é a versão 2.3 para “Login/Signup Popup”, versão 2.5.2 para “Waitlist Woocommerce (back in stock notifier )” e versão 2.1 para “Side Cart Woocommerce (Ajax)” no momento desta publicação.
Mais detalhes sobre as vulnerabilidades você encontra no site do Wodfence.