Pesquisadores da empresa finlandesa de segurança Klikki divulgaram neste último domingo (26) detalhes sobre brechas de segurança preocupantes que atingem até as versões mais recentes do WordPress. As falhas permitem que um invasor use a área de comentários padrão de uma página para injetar códigos maliciosos, que são ativados e começam a rodar logo que um administrador já logado no site os visualiza.

Para que o ataque funcione, o comentário com o JavaScript simples precisa ser longo o suficiente, passando dos 64 Kb (ou mais de 66 mil caracteres, segundo o Ars Technica) suportados pelo MySQL TEXT, e ser aprovado automaticamente. Isso faz com o que o texto seja quebrado, e que um “HTML malformado seja gerado na página”, segundo o relato da Klikki.

Dessa forma, “nas configurações padrão, o invasor pode aproveitar a vulnerabilidade para executar os códigos arbitrários no servidor via editores e plugins de tema”. O vídeo abaixo mostra como o golpe funciona.

Essa invasão ainda permite que o “atacante” altere a senha do administrador, crie novas contas ou “faça qualquer coisa que um administrador logado possa fazer no sistema alvo”. Ou seja, dá controle total do site a um cibercriminoso. A existência da brecha foi confirmada nas versões 4.2, 4.1.2, 4.1.1 e 3.9.3 do WordPress com o MySQL 5.1.53 e 5.5.41, mas outras também devem ser afetadas.

Segundo a Klikki, o WordPress ignorou todas as tentativas de comunicação feitas pela empresa desde novembro do ano passado – e por isso a decisão de divulgar as informações foi tomada. Uma atualização que corrija a brecha, portanto, pode demorar a sair, ainda mais levando em conta que a última relatada pela companhia precisou de 14 meses para ser corrigida.

Ainda assim, dá para se prevenir desabilitando o sistema de comentários padrão e deixando de aprovar quaisquer mensagens recebidas por ele. E caso não seja possível ficar sem um campo do tipo, há boas alternativas à ferramenta, como o plugin do Facebook, o Disqus e o LiveFyre.

Fonte: Klikki