O plugin Yuzo Related Posts, que está instalado em mais de 60.000 sites, foi removido do diretório WordPress.org em 30 de março de 2019 depois que uma vulnerabilidade não corrigida foi publicamente e irresponsavelmente divulgada por um pesquisador de segurança no mesmo dia.
A vulnerabilidade, que permite o script entre sites (XSS) armazenado, está agora sendo explorada na natureza. Esses ataques parecem estar ligados ao mesmo ator de ameaça que alvejou as recentes vulnerabilidades do Social Warfare e do Easy WP SMTP.
A proteção XSS incluída no firewall do Wordfence protege contra as tentativas de exploração que vimos até agora. Usuários gratuitos e Premium Wordfence estão protegidos contra esses ataques.
Com base em uma análise mais profunda das falhas de segurança presentes no plug-in, também implementamos proteção contra vetores de ataque adicionais. Os clientes premium receberão a atualização hoje, usuários gratuitos em 30 dias.
Recomendamos que todos os usuários removam o plug-in de seus sites imediatamente.
Encontrando a Falha
Verifique a tabela wp_options: –
Mostrar linhas “infectadas”
SELECT * FROM wp_options WHERE valor_da_opção LIKE ‘% eval (String.fromCharCode%’;
– Excluir linhas
DELETE FROM wp_options ONDE valor_de_opção LIKE ‘% eval (String.fromCharCode%’;
– Excluir todos os dados relacionados ao plug-in
DELETE FROM wp_options WHERE nome_da_opção LIKE ‘% yuzo%’;
Qual é o problema – Uma vulnerabilidade no plug-in do WordPress “postagens relacionadas ao Yuzo” foi explorada por invasores para injetar JavaScript e redirecionar os usuários para páginas fraudulentas.
Por que é importante – Este plug-in tem mais de 60000 instalações e os usuários não foram notificados sobre a vulnerabilidade.
Conclusão
A vulnerabilidade no plug-in do WordPress “Postagens relacionadas a Yuzo” permitiu que invasores modificassem o valor de yuzo_related_post_options da tabela wp_options para conter um JavaScript.
Esse script criará uma nova tag de script com a fonte “hello from hony dot Org”, e o script será injetado na parte superior da página.
Uma vez injetado, esse script redirecionará os usuários para vários sites antes de colocá-los em uma página fraudulenta.
Esta página de esquema será qualquer tipo de página de extensão indesejada ou uma pesquisa, uma página de esquema do tipo girar a roda ou qualquer página de esquema de suporte técnico.