Uma falha de segurança crítica no plugin pago Tutor LMS Pro, que possui mais de 30 mil instalações, está permitindo que atacantes se tornem administradores de sites WordPress. A vulnerabilidade foi descoberta e divulgada pela empresa de segurança Wordfence, que alerta para a facilidade de exploração do problema. Os desenvolvedores do plugin lançaram uma atualização corretiva em 30 de janeiro

Falha na validação de login social

De acordo com a Wordfence, o problema reside na funcionalidade de login via contas de terceiros, como Google ou Facebook, oferecida pelo plugin. O Tutor LMS Pro verifica apenas se o token fornecido pelo serviço externo é válido, mas não confere se aquele token pertence ao endereço de e-mail informado pelo usuário durante o login.

Ameaça iminente a administradores

Um atacante pode explorar essa falha utilizando seu próprio token válido (de uma conta do Google ou Facebook que ele controle) em combinação com o endereço de e-mail da vítima. A Wordfence explica que, se o atacante conhecer o e-mail do administrador do site e fornecê-lo no momento do login, o sistema o autenticará como administrador, concedendo-lhe controle total sobre a plataforma.

Atualização necessária e riscos

A Wordfence notificou os desenvolvedores sobre o problema em 14 de janeiro, e a versão corrigida do plugin foi lançada no final do mesmo mês. A empresa de segurança tornou os detalhes da vulnerabilidade públicos agora para incentivar a atualização imediata. Por se tratar de um plugin pago, não há dados oficiais sobre quantos sites já aplicaram a correção, expondo aqueles que não o fizeram a um risco significativo de comprometimento total.

fonte: Ciso advisor