Em 23 de dezembro de 2021, a equipe de inteligência do Wordfence e iniciou o processo de divulgação responsável de uma vulnerabilidade descoberta no “WordPress Email Template Designer – WP HTML Mail”, um plugin do WordPress instalado em mais de 20.000 sites.
Essa falha possibilitou que um invasor não autenticado injetasse JavaScript malicioso que seria executado sempre que um administrador de site acessasse o editor de modelos. Essa vulnerabilidade também permitiria que eles modificassem o modelo de email para conter dados arbitrários que poderiam ser usados para executar um ataque de phishing contra qualquer pessoa que recebesse emails do site comprometido.
Os usuários do Wordfence Premium receberam uma regra de firewall para proteção contra quaisquer explorações direcionadas a essa vulnerabilidade em 23 de dezembro de 2021. Os sites que ainda usam a versão gratuita do Wordfence receberão a mesma proteção em 22 de janeiro de 2022.
A equipe de inteligência enviou os detalhes completos da divulgação ao desenvolvedor em 10 de janeiro de 2022, após várias tentativas de contato com o desenvolvedor e, eventualmente, receber uma resposta. O desenvolvedor rapidamente reconheceu o relatório e lançou um patch em 13 de janeiro de 2022.
É altamente recomendável garantir que seu site tenha sido atualizado para a versão corrigida mais recente do “WordPress Email Template Designer – WP HTML Mail”, que é a versão 3.1 no momento desta publicação.
Fonte: Wordfence
