Uma falha de dia zero na versão mais recente de um plugin premium do WordPress conhecido como WPGateway está sendo ativamente explorada, potencialmente permitindo que invasores assumam completamente os sites afetados.

Rastreado como CVE-2022-3180 (pontuação CVSS: 9,8), o problema está sendo armado para adicionar um usuário administrador malicioso a sites que executam o plug-in WPGateway, observou a empresa de segurança WordPress Wordfence.

“Parte da funcionalidade do plug-in expõe uma vulnerabilidade que permite que invasores não autenticados insiram um administrador malicioso”, disse Ram Gall, pesquisador do Wordfence , em um comunicado.

O WPGateway é cobrado como um meio para os administradores do site instalarem, fazerem backup e clonarem plugins e temas do WordPress a partir de um painel unificado.

O Wordfence disse que bloqueou mais de 4,6 milhões de ataques tentando tirar proveito da vulnerabilidade contra mais de 280.000 sites nos últimos 30 dias. Mais detalhes sobre a vulnerabilidade foram retidos devido à exploração ativa e para impedir que outros atores aproveitem a deficiência.

Na ausência de um patch, recomenda-se que os usuários removam o plug-in de suas instalações do WordPress até que uma correção esteja disponível.

Mesmo que seu site e plugins estejam atualizados, é importante instalar um Web Application Firewall (WAF) em seu site, para proteger contra ataques de cibercriminosos.

Conheça o BruteSec WAF que pode proteger sua aplicação web: https://hackersec.com/brutesec/