A falha foi divulgada ao público 13 de maio, porém, inicialmente foi descoberta no dia 2 de fevereiro de 2021, quando a equipe de inteligência do Wordfence, revelou de forma responsável os detalhes de uma vulnerabilidade no External Média , um plugin do WordPress usado por mais de 8.000 sites.
Essa falha possibilitou que usuários autenticados, como assinantes, carreguem arquivos arbitrários em qualquer site que execute o plugin. Esta vulnerabilidade pode ser usada para obter a execução remota de código e assumir o controle de um site WordPress.
Inicialmente, a equipe do Wordfence entrou em contato em 2 de fevereiro de 2021. Depois de estabelecer um canal de comunicação apropriado, forneceram a divulgação completa no mesmo dia. Após isso, vários patches menores e acompanhamentos com o desenvolvedores, uma versão totalmente corrigida foi lançada como versão 1.0.34.
Isso é considerado uma vulnerabilidade crítica. Portanto, é altamente recomendável atualizar para a versão com patch mais recente disponível, 1.0.34, imediatamente.
Os usuários do Wordfence Premium receberam uma regra de firewall para proteção contra qualquer exploits direcionados a esta vulnerabilidade em 2 de fevereiro de 2021. Sites que ainda usam a versão gratuita do Wordfence receberam a mesma proteção em 4 de março de 2021.
Fonte: Wordfence
