Uma falha de dia zero em um plugin do WordPress chamado BackupBuddy está sendo ativamente explorada, divulgou a empresa de segurança do WordPress Wordfence.

Esta vulnerabilidade possibilita que usuários não autenticados baixem arquivos arbitrários do site afetado, que podem incluir informações confidenciais.

O BackupBuddy permite que os usuários façam backup de toda a instalação do WordPress a partir do painel, incluindo arquivos de tema, páginas, postagens, widgets, usuários e arquivos de mídia, entre outros.

Estima-se que o plugin tenha cerca de 140.000 instalações ativas, com a falha (CVE-2022-31474, pontuação CVSS: 7.5) afetando as versões 8.5.8.0 a 8.7.4.1. Os usuários do plug-in BackupBuddy são aconselhados a atualizar para a versão mais recente.

Caso os usuários determinem que podem ter sido comprometidos, é recomendável redefinir a senha do banco de dados, alterar o WordPress Salts e redirecionar as chaves de API armazenadas em wp-config.php.