Vulnerabilidades descobertas no Plug-in ProfilePress, anteriormente WP User Avatar, um plug-in WordPress instalado em mais de 400.000 sites. Essas falhas possibilitaram que um invasor carregasse arquivos arbitrários em um site vulnerável e se registrasse como administrador.
As vulnerabilidades foram descobertas em 27 de maio de 2021, quando a equipe de inteligência do Wordfence iniciou o processo de divulgação para os responsáveis pelo desenvolvimento do Plug-in.
Depois de receber a confirmação de um canal de comunicação apropriado, a equipe de inteligência do Wordfence forneceu todos os detalhes da vulnerabilidade no mesmo dia. Uma cópia atualizada do plug-in foi enviada à equipe do Wordfence em 28 de maio de 2021, e foi confirmado que fornecia proteção suficiente.
O patch foi lançado rapidamente em 30 de maio de 2021 como versão 3.1.4.
Esses são problemas de segurança críticos e facilmente exploráveis que foram corrigidos, portanto, recomendamos a atualização para a última versão corrigida disponível, 3.1.8, imediatamente se você estiver executando uma versão vulnerável deste plugin (3.1 – 3.1.3).
Os usuários do Wordfence Premium receberam uma regra de firewall para proteção contra qualquer exploits direcionados a essas vulnerabilidades em 27 de maio de 2021. Sites que ainda usam a versão gratuita do Wordfence receberam a mesma proteção em 26 de junho de 2021.
Wordfence esperou 30 dias antes de divulgar esses problemas para garantir que tanto o Wordfence Premium quanto os usuários gratuitos estivessem protegidos contra qualquer tentativa de exploração, dada a gravidade dos problemas e o tamanho da base de instalação.
Também minimizam intencionalmente os detalhes fornecidos sobre como essas vulnerabilidades podem ser exploradas para atrasar quaisquer esforços de agentes maliciosos de ameaças.
Para mais detalhes sobre a vulnerabilidade visite o link oficial do Wordfence.
Fonte: Wordfence
