Em 19 de agosto de 2021, a equipe de inteligência do Wordfence iniciou o processo de Divulgação Responsável para Brizy – Page Builder , um plugin WordPress instalado em mais de 90.000 sites.
Durante uma revisão de rotina das regras de firewall, encontramos tráfego indicando que uma vulnerabilidade pode estar presente no plug-in Brizy – Page Builder, embora não pareça estar sob ataque ativo. Isso nos levou a descobrir duas novas vulnerabilidades, bem como uma vulnerabilidade de controle de acesso corrigida anteriormente no plug-in que foi reintroduzido.
Ambas as novas vulnerabilidades podem tirar proveito da vulnerabilidade de controle de acesso para permitir o controle completo do site, incluindo uma combinação que permite que qualquer usuário conectado modifique qualquer postagem publicada e adicione JavaScript malicioso a ela, bem como uma falha separada que permite qualquer usuário conectado. no usuário para fazer upload de arquivos potencialmente executáveis e obter execução remota de código.
A equipe do Wordfence recebeu uma resposta sobre a divulgação inicial e enviaram a divulgação completa no mesmo dia, em 19 de agosto de 2021. Uma versão corrigida do plug-in Brizy – Page Builder, 2.3.12, foi lançada em 24 de agosto de 2021. De acordo com a política de divulgação responsável do Wordfence, estão divulgando detalhes apenas agora sobre a vulnerabilidade, pois o plugin foi totalmente corrigido.
Todos os usuários do Wordfence, incluindo os usuários do Wordfence Premium, bem como aqueles que usam a versão gratuita, são protegidos por uma combinação de nossas regras de firewall integradas e uma regra de firewall existente lançada em junho de 2020, que cobria uma vulnerabilidade semelhante em uma versão anterior do Brizy – Construtor de páginas.
A vulnerabilidade original foi corrigida na versão 1.0.126, mas uma vulnerabilidade quase idêntica foi reintroduzida na versão 1.0.127.
Recomendamos fortemente atualizar para a última versão disponível, 2.3.17, o mais rápido possível, especialmente se você não estiver executando o Wordfence.
Fonte: Wordfence
