Falhas críticas no tema WordPress Houzez usadas para sequestrar sites

O tema Houzez é um plug-in premium que custa $ 69, oferecendo fácil gerenciamento de listagem e uma experiência de cliente tranquila. O site do fornecedor afirma que está atendendo a mais de 35.000 clientes no setor imobiliário.

As duas vulnerabilidades foram descobertas pelo pesquisador de ameaças do Patchstack, Dave Jong, e relatadas ao fornecedor do tema, ‘ThemeForest’, com uma falha corrigida na versão 2.6.4 (agosto de 2022) e a outra na versão 2.7.2 (novembro de 2022).

No entanto, um novo relatório do Patchstack alerta que alguns sites não aplicaram a atualização de segurança e os agentes de ameaças exploram ativamente essas falhas antigas em ataques contínuos. “A vulnerabilidade no tema e no plugin é atualmente explorada em estado selvagem e vimos um grande número de ataques do endereço IP 103.167.93.138 no momento da redação deste artigo.” -Patchstack

_ .

Abusado para assumir o controle de sites

A primeira falha Houzez é rastreada como CVE-2023-26540 e tem uma classificação de gravidade de 9,8 de 10,0 pelo padrão CVSS v3.1, categorizando-a como uma vulnerabilidade crítica.

É uma configuração incorreta de segurança que afeta o plug-in Houzez Theme versão 2.7.1 e anterior e pode ser explorada remotamente sem exigir autenticação para executar a escalação de privilégios.

A versão que corrige o problema é o tema Houzez 2.7.2 ou posterior.

A segunda falha recebeu o identificador CVE-2023-26009 , e também é classificada como crítica (CVSS v3.1: 9.8), impactando o plugin Houzes Login Register.

Ele afeta as versões 2.6.3 e anteriores, permitindo que invasores não autenticados executem escalonamento de privilégios em sites usando o plug-in.

A versão que aborda a ameaça à segurança é Houzez Login Register 2.6.4 ou posterior.

Dave Jong disse ao BleepingComputer que os agentes de ameaças exploram essas vulnerabilidades enviando uma solicitação ao terminal que escuta as solicitações de criação de contas.

Devido a um bug de verificação de validação no lado do servidor, a solicitação pode ser criada para criar um usuário administrador no site, permitindo que os invasores assumam o controle total do site WordPress.

Nos ataques observados pelo Patchstack, os agentes de ameaças carregavam um backdoor capaz de executar comandos, injetar anúncios no site ou redirecionar o tráfego para outros sites maliciosos.

“Como a função de usuário desejada pode ser fornecida pelo usuário, mas não é validada adequadamente no lado do servidor, ela pode ser definida como o valor “administrador” para criar uma nova conta que tenha a função de usuário administrador”, pesquisador do PatchStack D. Jong disse ao BleepingComputer.

“Depois disso, eles poderiam fazer qualquer coisa com o site que quisessem, embora o que normalmente vemos é que um plug-in malicioso será carregado, contendo um backdoor.

Infelizmente, o Patchstack relata que as falhas estão sendo abusadas ao escrever isso, portanto, a aplicação dos patches disponíveis deve ser tratada com a máxima prioridade pelos proprietários e administradores do site.