O WordPress divulgou a nova versão 6.5.2 Maintenance and Security Release, a qual resolve uma falha de segurança no script do site da loja e corrige diversos erros no núcleo e no editor de blocos.
A vulnerabilidade é comum tanto no núcleo do WordPress quanto no plugin Gutenberg.
Sinopsis de Sitios Cruzados (XSS)
Foi identificada uma falha XSS no WordPress que possibilitaria a um invasor inserir scripts em um site, os quais seriam utilizados para atacar os visitantes que acessam essas páginas.
Há três categorias de vulnerabilidades XSS, sendo as mais frequentemente encontradas em plugins do WordPress, temas e no próprio WordPress, as XSS refletidas e armazenadas.
XSS refletido é mais desafiador de executar porque exige que a vítima clique em um link, um passo adicional necessário para o sucesso desse tipo de ataque.
Um tipo de XSS armazenado é considerado o mais perigoso, pois se aproveita de uma falha que possibilita ao invasor inserir um script em um site vulnerável e assim realizar ataques contra os visitantes do site. A vulnerabilidade encontrada no WordPress é um exemplo desse tipo de XSS armazenado.
A própria ameaça é reduzida em certa medida, pois se trata de um XSS armazenado autenticado, o que implica que o agressor deve inicialmente obter ao menos uma permissão de contribuinte para aproveitar a falha no site que permite a vulnerabilidade.
Esta vulnerabilidade é considerada uma ameaça moderada, obtendo uma pontuação de 6,4 no Sistema Comum de Pontuação de Vulnerabilidades (CVSS) em uma escala de 1 a 10.
A vulnerabilidade é descrita pela Wordfence.
O WordPress Core apresenta uma vulnerabilidade de Cross-Site Scripting armazenado por meio dos nomes de exibição de usuário no bloco Avatar em várias versões até a 6.5.2, devido à falta de escape adequado no nome de exibição. Isso permite que atacantes autenticados, com nível de acesso de contribuinte ou superior, insiram scripts web arbitrários em páginas que serão executados sempre que um usuário acessar a página injetada.
WordPress.org sugere que faça a atualização o mais rapidamente possível.
O anúncio oficial do WordPress aconselhou os usuários a atualizarem suas instalações, declarando:
Devido a se tratar de um aviso de segurança, é aconselhável que faça a atualização dos seus sites sem demora. Além disso, também estão disponíveis correções para versões anteriores do WordPress, como 6.1 e posteriores.
Confira os comunicados da Wordfence.
WordPress Core antes da versão 6.5.2 – Cross-Site Scripting armazenado autenticado (Contribuidor+) através do bloco de avatar.
Gutenberg versões 12.9.0 a 18.0.0 apresentam uma vulnerabilidade de Cross-Site Scripting armazenada autenticada por meio do bloco Avatar.
Por favor, dê uma olhada no comunicado oficial do WordPress.org.
Atualização de segurança e manutenção do WordPress para a versão 6.5.2.
A imagem principal é fornecida por Shutterstock/ivan_kislitsin.
