Pesquisadores de cibersegurança alertaram que múltiplas vulnerabilidades de alta severidade em plugins do WordPress estão sendo ativamente exploradas por atores maliciosos para criar contas de administrador falsas e realizar explorações subsequentes. “Essas vulnerabilidades são encontradas em vários plugins do WordPress e são propensas a ataques de cross-site scripting (XSS) armazenado não autenticado devido à sanitização inadequada de entrada e escape de saída, permitindo que os atacantes injetem scripts maliciosos”, disseram os pesquisadores Simran Khalsa, Xavier Stevens e Matthew Mathur.
As cadeias de ataque explorando essas falhas envolvem a injeção de um payload que aponta para um arquivo JavaScript ofuscado hospedado em um domínio externo. Esse script é responsável por criar uma nova conta de administrador, inserir uma backdoor e configurar scripts de rastreamento. Os backdoors PHP são injetados tanto em arquivos de plugins quanto de temas, enquanto o script de rastreamento é projetado para enviar uma solicitação HTTP GET contendo informações do host HTTP para um servidor remoto (“ur.mystiqueapi[.]com/?ur”).
Vale destacar que a empresa de segurança do WordPress, WPScan, divulgou anteriormente esforços de ataque semelhantes que visavam a CVE-2023-40000 para criar contas de administrador falsas em sites vulneráveis.