Fragilidade encontrada no Plugin do Google Analytics para WordPress afeta mais de três milhões de sites.
Vulnerabilidade Nacional foi revelada em um plugin do Google Analytics para WordPress, instalado em mais de 3 milhões de sites, que foi identificado como contendo uma falha de segurança XSS.
XSS armazenado – Convertido em XSS persistente.
Um incidente de Script Cross-Site (XSS) comumente acontece quando uma seção do website que recebe informações do usuário não é segura e aceita entradas não previstas, como scripts ou links.
A falha de segurança XSS pode ser explorada para obter acesso não autorizado a um site, resultando no roubo de dados do usuário ou na total tomada do controle do site.
O funcionamento da vulnerabilidade XSS é explicado pelo Open Worldwide Application Security Project (OWASP).
Um hacker pode se valer do XSS para enviar um script mal-intencionado a um usuário desavisado. O navegador do usuário não consegue discernir se o script é seguro ou não, e acabará executando-o.
Uma vez que ele acredita que o script é proveniente de uma fonte confiável, o script malicioso tem a capacidade de obter acesso aos cookies, tokens de sessão, ou outras informações sensíveis armazenadas pelo navegador e utilizadas nesse site.
Um tipo mais grave de XSS é o XSS armazenado, no qual o código malicioso é armazenado nos servidores do site.
Foi identificada uma vulnerabilidade de armazenamento XSS na versão do plugin MonsterInsights – Google Analytics Dashboard para WordPress.
MonsterInsights – Ponto de controle do Google Analytics para WordPress Vulnerabilidade
Mais de três milhões de sites têm o plugin MonsterInsights Google Analytics instalado, o que torna essa vulnerabilidade menos significativa em comparação.
A vulnerabilidade foi descoberta pela empresa Patchstack, especializada em segurança do WordPress, e os detalhes foram divulgados publicamente.
“Rafie Muhammad (Patchstack) identificou e comunicou a presença de uma vulnerabilidade de Cross Site Scripting (XSS) no Plugin WordPress Google Analytics por MonsterInsights.”
Isso pode possibilitar que um indivíduo mal-intencionado insira códigos maliciosos, como redirecionamentos, publicidades e outros elementos de HTML em seu site, os quais serão executados quando os visitantes acessarem sua página.
Essa falha de segurança foi solucionada na atualização 8.14.1.
O registro de alterações do plugin MonsterInsights no repositório do WordPress forneceu uma descrição pouco clara sobre a correção de segurança.
Corrigido: Foi resolvido um aviso de erro do PHP e implementadas medidas extras de segurança.
Uma “medida de segurança adicional” é um conceito que pode ser utilizado em diversas atividades relacionadas à diminuição de possíveis pontos de ataque, como a exclusão da divulgação do número da versão.
O WordPress compartilhou um extenso conteúdo sobre reforço de segurança, sugerindo a realização de ações como a realização de backups periódicos do banco de dados, a obtenção de temas e plugins de fontes confiáveis e a utilização de senhas robustas.
Todas essas ações visam reforçar a segurança.
Por isso, o uso da expressão “reforço de segurança” é uma forma ampla e genérica de se referir a algo tão específico (e crucial) quanto corrigir uma vulnerabilidade de segurança XSS, que pode levar um usuário a negligenciar a atualização de seu plugin.
Sugestão de ação a ser tomada.
Patchstack sugere que todos os utilizadores do Plugin de Análise MonsterInsights atualizem o seu plugin WordPress o mais rápido possível para a versão mais recente ou, no mínimo, para a versão 8.14.1.
“Por favor, leia o alerta de banco de dados sobre a vulnerabilidade nacional dos Estados Unidos.”
Detalhe sobre a CVE-2023-23999.
Confira o anúncio do Patchstack.
O plugin WordPress Google Analytics por MonsterInsights, em sua versão até 8.14.0, possui uma vulnerabilidade de Cross Site Scripting (XSS).
