Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

A vulnerabilidade foi descoberta pelo pesquisador de segurança cibernética do Wordfence, Ramuel Gall.

Compartilhe

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

Uma vulnerabilidade de desvio de autenticação foi encontrada no plug-in WordPress MStore API. Identificado como CVE-2023-2732 e atribuído a uma pontuação preocupante do Common Vulnerability Scoring System (CVSS) de 9,8, essa brecha de segurança é uma ameaça potente para mais de 5.000 sites WordPress que utilizam esse plug-in.

O plug-in MStore API, uma engrenagem vital no sistema de comércio eletrônico móvel Fluxstore, ganhou popularidade substancial por sua alta produtividade e eficiência de custo. A Fluxstore, nascida do berço inovador da estrutura Flutter do Google, tem como missão simplificar a jornada de aplicativos móveis desde o estágio de desenvolvimento até o mercado. No entanto, uma vulnerabilidade nesta ferramenta amplamente utilizada, especificamente em versões até e incluindo 3.9.2, ameaça lançar uma sombra negra sobre sua reputação estelar.

A raiz da falha CVE-2023-2732 está no processo de verificação insuficiente do usuário fornecido durante a solicitação da API REST ‘adicionar listagem’ por meio do plug-in. Em termos mais simples, o plug-in não consegue autenticar adequadamente as identidades de seus usuários, abrindo assim um portal para entidades nefastas explorarem. Armados com um ID de usuário, invasores não autenticados podem contornar as medidas de segurança e se passar por qualquer usuário existente no site, até mesmo um administrador, assumindo assim o controle do site.

O que acrescenta uma camada de urgência a essa situação é que o submundo cibernético não está apenas ciente dessa vulnerabilidade , mas está examinando ativamente as vastas extensões da Internet para identificar e explorar versões de plugins vulneráveis em sites WordPress. Em uma prova da ameaça crescente, o Wordfence, uma solução de segurança líder para WordPress, bloqueou um número impressionante de 794 ataques direcionados a essa vulnerabilidade no período de um único dia.

A correção foi lançada com MStore API versão 3.9.3. Todos os usuários de plug-in são recomendados para atualizar para a versão mais recente o mais rápido possível.

7 thoughts on “Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress”

Comments are closed.

Departamento de Justiça dos EUA indicia hacker norte-coreano por ataques de ransomware em hospitais

5 min read

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

Departamento de Justiça dos EUA indicia hacker norte-coreano por ataques de ransomware em hospitais

Falha crítica no mecanismo Docker permite que invasores ignorem plug-ins de autorização

Meta remove 63.000 contas do Instagram vinculadas a golpes de sextorsão nigerianos

Departamento de Justiça dos EUA indicia hacker norte-coreano por ataques de ransomware em hospitais

Falha crítica no mecanismo Docker permite que invasores ignorem plug-ins de autorização

Meta remove 63.000 contas do Instagram vinculadas a golpes de sextorsão nigerianos

Falha do Microsoft Defender explorada para entregar ladrões de ACR, Lumma e Meduza

Malware SocGholish explora projeto BOINC para ataques cibernéticos secretos

CrowdStrike explica incidente de sexta-feira que travou milhões de dispositivos Windows

Instituições ucranianas são alvos do uso de malware HATVIBE e CHERRYSPY

Google abandona plano de eliminar cookies de terceiros no Chrome

Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas

Nova variante Linux do Play Ransomware tem como alvo sistemas VMware ESXi

ENC Security, o provedor de criptografia para Sony e Lexar, vazou dados confidenciais por mais de um ano

Ataque a Record TV foi maior do que divulgado

Google concorda com acordo de US$ 93 milhões no processo de privacidade de localização na Califórnia

Australiano é condenado a dois anos de prisão por golpes de phishing de US$ 69 mil

A Microsoft expande o registro em nuvem para combater as crescentes ameaças cibernéticas dos estados-nação

Câmara dos Deputados identificado invasores pelo WiFi

Microsoft culpa ataque DDoS em larga escala

ANPD: Incidentes de Segurança Terão de Ser Comunicados em até Três Dias

LobShot: um Trojan financeiro furtiva e perigosa

Hacker mais procurado da Finlândia é preso na França

Departamento de Justiça dos EUA indicia hacker norte-coreano por ataques de ransomware em hospitais

Falha crítica no mecanismo Docker permite que invasores ignorem plug-ins de autorização

Meta remove 63.000 contas do Instagram vinculadas a golpes de sextorsão nigerianos

Falha do Microsoft Defender explorada para entregar ladrões de ACR, Lumma e Meduza

Malware SocGholish explora projeto BOINC para ataques cibernéticos secretos

CrowdStrike explica incidente de sexta-feira que travou milhões de dispositivos Windows

Instituições ucranianas são alvos do uso de malware HATVIBE e CHERRYSPY

Google abandona plano de eliminar cookies de terceiros no Chrome

Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas

Nova variante Linux do Play Ransomware tem como alvo sistemas VMware ESXi

Departamento de Justiça dos EUA indicia hacker norte-coreano por ataques de ransomware em hospitais

Falha crítica no mecanismo Docker permite que invasores ignorem plug-ins de autorização

Meta remove 63.000 contas do Instagram vinculadas a golpes de sextorsão nigerianos

Falha do Microsoft Defender explorada para entregar ladrões de ACR, Lumma e Meduza

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

7 thoughts on “Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress”

+Mais

veja também