Falha em plugin do WordPress coloca em risco informações de 1 milhão de  sites - Canaltech
Foto: Canaltech

Tem sido tempos difíceis para os plugins do WordPress. Nesta quinta-feira (28), foi descoberto que a ferramenta OptinMonster tem uma falha de segurança crítica, que permite acesso de APIs não autorizadas a informações sensíveis em mais de um milhão de sites da plataforma.

OptinMonster é um dos plugins mais populares do WordPress, sendo usado para criar formulários artísticos que podem ajudar a converter visitantes dos sites em inscritos ou clientes. A ferramente é fácil de ser usado, e pode ser encontrada em aproximadamente um milhão de páginas.

A falha, identificada como CVE-2021-39341, foi descoberta pela pesquisadora Chloe Chamberland em 28 de setembro, e uma correção foi disponibilizada no dia 7 de outubro, na versão 2.6.5 do plugin.

Além disso, após o relatório publicado pela pesquisadora, os desenvolvedores do OptinMonster afirmaram que a ferramenta está precisando de uma reformulação de segurança completa. Eles recomendam a atualização do plugin o mais rápido possível, sempre que uma nova versão estiver disponível.

É importante lembrar que a falha do OptinMonster é o quarto caso de vulnerabilidades em plugins do WordPress notificadas nos últimos 3 meses. A mais recente foi identificada na ferramenta Hashthemes Demo, e, caso explorada, poderia ocasionar a remoção de sites do ar.

Entendendo a vulnerabilidade

Como explicado pela pesquisadora em seu relatório sobre a falha, o OptinMonster faz uso de APIs para o pleno funcionamento de sua integração com outros serviços. API é o nome de um conjunto de padrões que fazem parte de uma interface, e que permitem a criação de plataformas de maneira mais simples e prática para desenvolvedores.

Porém, a implementação desses conjuntos pelo OptionMonster nem sempre são seguras, com uma falha crítica no processo podendo expor informações sensíveis, como as chaves de API usadas pelo site e o caminho que a página percorre para comunicar-se com seus servidores, para agentes sem autorização.

A partir do uso dessas informações, invasores podem modificar configurações do OptinMonster, ou até mesmo implantar agentes maliciosos na página, para infectar visitantes sempre que as funções do plugin forem utilizadas.