Um alerta de segurança chamou a atenção para uma vulnerabilidade no WPBakery Page Builder, plug-in de criação de páginas amplamente distribuído em temas premium do WordPress. A falha possibilita que usuários autenticados injetem scripts maliciosos que são executados quando visitantes acessam páginas afetadas.
O que aconteceu
Pesquisadores identificaram que o módulo Custom JS do WPBakery apresenta sanitização de entrada e escape de saída insuficientes. Esse cenário abre caminho para a inserção de código arbitrário, recurso que, em prática, pode resultar em ataques de Cross-Site Scripting (XSS).
Quem pode explorar a brecha
De acordo com o aviso, atacantes com nível de acesso de colaborador ou superior conseguem explorar a falha para carregar scripts maliciosos no site.
Versões afetadas
O problema atinge todas as versões do plug-in até e incluindo a 8.6.1. A desenvolvedora liberou a atualização 8.7, que corrige a vulnerabilidade.
Recomendação
Administradores que utilizam o WPBakery — especialmente em temas onde o plug-in vem pré-instalado — devem atualizar imediatamente para a versão mais recente a fim de mitigar riscos.
Imagem: Internet
A falha ressalta a importância de manter plug-ins e temas do WordPress sempre atualizados, sobretudo aqueles amplamente utilizados em soluções comerciais.
Com informações de Search Engine Journal
