Um comunicado foi emitido para o popular plugin WPBakery, incluído em milhares de temas WordPress. A vulnerabilidade permite que invasores autenticados injetem scripts maliciosos que são executados quando alguém visita uma página afetada.

Plug-in WPBakery

WPBakery é um plug-in de criação de páginas de arrastar e soltar para WordPress que permite aos usuários criar facilmente layouts e sites personalizados sem escrever código. WPBakery é frequentemente fornecido com temas premium. Os desenvolvedores de temas licenciam-no para que possam trazer o poder da funcionalidade de arrastar e soltar do construtor de páginas para seus temas WordPress.

Vulnerabilidade WPBakery

O plugin WPBakery Page Builder WordPress foi descoberto ter sanitização de entrada e escape de saída insuficientes em seu módulo JS personalizado.

Sanitização de entrada e escape de saída insuficientes são falhas que permitem que invasores carreguem código malicioso em um site e fazem com que o site afetado gere código malicioso. Em geral, isso pode levar a vulnerabilidades como Cross-Site Scripting (XSS) e SQL Injection.

• O Input Sanitization filtra os dados do usuário carregados antes de serem armazenados ou processados ​​pelo plug-in.
• O escape de saída converte caracteres com significados HTML em saída segura antes de serem exibidos em uma página da web. Isso evita que o código executável seja enviado para uma página da Web ativa e afete os usuários.

Essa falha permite que invasores com acesso de contribuidor ou superior injetem scripts arbitrários nos sites afetados. A vulnerabilidade afeta versões do plugin WPBakery até a versão 8.6.1 inclusive.

Os usuários do plugin são incentivados a atualizar para a versão mais recente do WPBakery, que atualmente é a versão 8.7.

Imagem em destaque da Shutterstock/papel de parede de arte 3D