Sem alarde, WordPress corrige vulnerabilidade perigosa de segurança

Plataforma de gerenciamento de conteúdo adiou intencionalmente a revelação da falha em uma semana para garantir a segurança de usuários.

Os desenvolvedores do sistema de gerenciamento e publicação de conteúdo WordPress liberaram um update na última semana, mas atrasaram intencionalmente o anúncio de que a atualização corrigia uma vulnerabilidade crítica.

Liberado em 26 de janeiro como um update de segurança, o WordPress versão 4.7.2 trazia apenas notas que mencionavam as correções de três vulnerabilidades de risco moderado, sendo que uma delas nem afetava o código principal da plataforma.

Na última quarta-feira, 01/02, uma semana depois, a equipe de segurança do WordPress revelou que uma quarta vulnerabilidade, muito mais séria que as outras, também corrigida com o mais recente update.

Essa vulnerabilidade foi descoberta por pesquisadores da companhia de segurança web Sucuri e foi informada de maneira privada para a equipe do WordPress em 20 de janeiro. Ela fica localizada na API REST da plataforma e permite que invasores não autenticados modifiquem o conteúdo de qualquer post ou página em um site WordPress.

“Acreditamos que a transparência é o melhor para o público. É o nosso ponto de vista que os problemas de segurança devem sempre ser revelados. Neste caso, adiamos intencionalmente a revelação desse problema em uma semana para garantir a segurança de milhões de sites WordPress”, afirmou o desenvolvedor-chefe do WordPress, Aaron Campbell.

Segundo Campbell, após ficarem sabendo da falha, os desenvolvedores do WordPress entraram em contato com empresas de segurança que mantém firewalls de aplicações web conhecidas para que possam aplicar regras de proteção contra possíveis exploits. Então eles procuraram grandes empresas de hospedagem WordPress e lhes aconselharam sobre como implementar as proteções para os seus clientes antes que um patch oficial fosse liberado.

A vulnerabilidade só afeta o WordPress 4.7 e o WordPress 4.7.1, onde a API REST é habilitada por padrão. As versões mais antigas não são afetadas, mesmo que tenham o plug-in da API REST.

 Fonte:
http://idgnow.com.br/internet/2017/02/02/sem-alarde-wordpress-corrige-vulnerabilidade-perigosa-de-seguranca/

Deixe uma resposta