Plugin WordPress MailPoet

Um grupo de pesquisadores da Sucuri.net, empresa especializada em pesquisar falhas inclusive em produtos WordPress, encontrou uma falha no Plugin  Wysija Newsletter ( também chamado de MailPoet ), é um recurso usado em blogs gerenciado pelo WordPress.

Praticamente mais de 50% dos sites /blogs da internet hoje são gerenciados pelo CMS WordPress, e este plugin, o MailPoet é onde está a falha (vulnerabilidade ), hoje existem perto de 2 milhões de site usando este recurso.

 

O que faz este Plugin (MailPoet )

Ele é usado pelos usuários para inserir o recurso NewsLetter , um recurso que permite receber email de visitantes do site/blog para depois enviar mensagem.

 

A primeira coisa que faz o hacker no Plugin é baixar  um novo Tema Visual,a través dele pode ter controle em outras partes do blog e até a lista de usuários capturados no Blog.

 

Esta é a mensagem no servidor durante a tentativa..

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes 
HTTP/1.0" 302 - "https://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

 

E ainda a mensagem

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91

 

Se você tem um blog e usa o Plugin MailPoet, pode baixar a última versão sem a falha de segurança:

 

 

Deixe um comentário