Se n\u00e3o atualizou seu website para a vers\u00e3o mais recente do WordPress 5.0.3, \u00e9 uma boa ideia atualizar o software de gerenciamento de conte\u00fado do seu site imediatamente.<\/p>\r\n
Pesquisadores de seguran\u00e7a cibern\u00e9tica da RIPS Technologies GmbH compartilharam suas \u00faltimas pesquisas com o The Hacker News, revelando a exist\u00eancia de uma vulnerabilidade cr\u00edtica de execu\u00e7\u00e3o remota de c\u00f3digo que afeta todas as vers\u00f5es anteriores do software de gerenciamento de conte\u00fado do WordPress lan\u00e7ado nos \u00faltimos 6 anos.<\/p>\r\n
O ataque de execu\u00e7\u00e3o remota de c\u00f3digo, descoberto e reportado \u00e0 equipe de seguran\u00e7a do WordPress no final do ano passado, pode ser explorado por um invasor com privil\u00e9gios baixos e pelo menos uma conta de “autor” usando uma combina\u00e7\u00e3o de duas vulnerabilidades separadas – Path Traversal e Local File Inclusion. residir no n\u00facleo do WordPress.<\/p>\r\n
O requisito de pelo menos uma conta de autor reduz a gravidade dessa vulnerabilidade at\u00e9 certo ponto, que pode ser explorada por um contribuidor de conte\u00fado nocivo ou um invasor que, de alguma forma, consegue obter credenciais de autor usando phishing, reutiliza\u00e7\u00e3o de senha ou outros ataques.<\/p>\r\n
“Um invasor que obt\u00e9m acesso a uma conta com pelo menos privil\u00e9gios de autor em um site WordPress de destino pode executar c\u00f3digo PHP arbitr\u00e1rio no servidor subjacente, levando a uma aquisi\u00e7\u00e3o remota completa”.<\/p>\r\n
Veja como funciona o ataque<\/p>\r\n\r\n