Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

+1 -800-456-478-23

Cibersegurança

Vulnerabilidade crítica descoberta no plugin Houzez para WordPress, em sites imobiliários

Duas falhas críticas foram descobertas no tema Houzez e no plugin para WordPress, geralmente utilizados em sites do setor imobiliário, e estão sendo ativamente exploradas por invasores. As duas vulnerabilidades foram descobertas pelo CTO da Patchstack, Dave Jong, que reportou ao fornecedor do tema, a ThemeForest (plataforma do grupo Envato Marketing), que vende uma série de recursos para criativos, dentre eles temas e plugins para sites.

Uma das falhas foi corrigida na versão 2.6.4 (agosto de 2022) e a outra na versão 2.7.2 (novembro de 2022). Porém, um novo relatório da Patchstack alerta que alguns sites não implementaram as atualizações de segurança e, por isso, os ataques continuam.

O Houzez oferece gerenciamento simplificado de dados e uma plataforma bastante agradável. Mais de 35.000 clientes no mercado imobiliário utilizam o tema, segundo o site do fornecedor.

Assumindo o controle de sites

A primeira falha de segurança encontrada foi identificada como CVE-2023-26540 e recebeu a pontuação 9,8 de 10, seguindo o padrão CVSS v3.1. Trata-se de um erro de configuração de segurança que afeta o plugin Houzez Theme 2.7.1 ou versões mais antigas e que possibilita o acesso remoto sem a necessidade de autenticação. O atacante pode fazer qualquer alteração na escalada de privilégios de acesso.

A segunda vulnerabilidade, também classificada como falha crítica, recebeu o identificador CVE-2023-26009. Afetando o plugin Houzez Login Register, nas versões 2.6.3 e anteriores, essa vulnerabilidade concede acesso ao invasor não autenticado que pode realizar a escalada de privilégios.

Ainda segundo Dave Jong, os cibercriminosos exploram essas vulnerabilidades enviando uma solicitação ao endpoint que recebe as solicitações de criação de conta e devido a um bug de validação do lado do servidor, a solicitação pode ser criada para criar um “usuário administrador”, possibilitando que o atacante assuma o total controle do site.

Em alguns ataques foi observado que os cibercriminosos implantaram um backdoor capaz de executar comandos, inserir anúncios no site e até redirecionar o tráfego para sites maliciosos.

As atualizações disponíveis devem ser realizadas com extrema prioridade pelas empresas que utilizam o Houzez Theme, no entanto, além da atualização, é essencial para corporações que desejam manter seus sistemas seguros, um serviço de Gestão de Vulnerabilidades.

“Não se trata apenas de tecnologia, mas de um processo de identificação e classificação de riscos, para depois aplicar patch e executar os demais processos necessários para maior segurança e proteção de dados” (Rodrigo Defanti – CEO da Protega Managed Cybersecurity).

A Protega atua há mais de 20 anos no mercado de cibersegurança e pode ajudar a sua empresa contra vulnerabilidades críticas. Clique aqui e fale com um de nossos especialistas ou entre em contato pelo nosso site: CLIQUE AQUI!

Logotipo Protega Managed Cybersecurity