Administradores do WordPress estão sendo instados a remover os plugins Malware Scanner e Web Application Firewall da miniOrange de seus sites após a descoberta de uma falha de segurança crítica. A falha, rastreada como CVE-2024-2172, recebeu uma classificação de 9,8 em um máximo de 10 no sistema de pontuação CVSS.

É importante notar que os plugins foram permanentemente fechados pelos mantenedores em 7 de março de 2024. Enquanto o Malware Scanner tem mais de 10.000 instalações ativas, o Web Application Firewall tem mais de 300 instalações ativas. “A vulnerabilidade permite que um atacante não autenticado conceda a si mesmo privilégios administrativos atualizando a senha do usuário”, relatou a Wordfence na semana passada.

O desenvolvimento ocorre enquanto a empresa de segurança do WordPress alertou sobre uma falha de escalonamento de privilégios de alta gravidade no plugin RegistrationMagic (CVE-2024-1991, pontuação CVSS: 8.8) afetando todas as versões, incluindo e anteriores a 5.3.0.0.