Em Agosto de 2023, a equipe do “Wordfence Threat Intelligence” iniciou um projecto de pesquisa para encontrar Stored Cross-Site Scripting (XSS) através de vulnerabilidades de Shortcode em plugins do repositório do WordPress. Este tipo de vulnerabilidade permite ameaças com permissões de nível de contribuidor ou superior injetem scripts maliciosos em páginas utilizando códigos de acesso de plugins, que serão executados sempre que uma “vítima” aceder a uma página injetada. Foram encontradas mais de 100 vulnerabilidades em plugins WordPress que afetam mais de 6 milhões de sites. Vejam em baixo a lista completa dos plugins afetados.
Tal como acontece com todas as vulnerabilidades XSS, uma carga maliciosa pode ser utilizada para executar ações como administrador, incluindo adicionar novos utilizadores administradores “mal-intencionados” no site e incorporar backdoors em ficheiros de plugins e temas, bem como redirecionar utilizadores para sites maliciosos.
Verifiquem se os vossos sites estão actualizados com as versões mais recentes de cada plugin afetado. Para plugins que ainda não estejam corrigidos (que não haja patches) e que foram fechados pela equipe de segurança do WordPress.org, recomendamos que removam os plugins afectados e procurem soluções alternativas.
Se conheces alguém que usa algum destes plugins, recomendo que partilhes esta lista com essa pessoa para garantir que o site permaneça seguro, pois este tipo de vulnerabilidade representa um risco significativo.