O time de pesquisas da iBLISS descobriu mais duas falhas em plugins do WordPress. Dessa vez, os plugins são NOSpamPTI e WordPress Bradesco-gateway.

Conheça a falha publicada na semana passada.

O NOSpamPTI é um plugin brasileiro para controle de spam em comentários do WordPress. A falha descoberta é um Blind SQL Injection, que permite a execução de código malicioso e a obtenção de dados sensíveis do banco de dados. O desenvolvedor informou que o plugin não será mais atualizado, portanto, está providenciando a retirada do plugin do repositório e site do WordPress. O advisory foi publicado no Bugtraq e o CVE é o CVE-2013-5917.

No plugin WordPress Bradesco-gateway, foi identificada uma vulnerabilidade de Cross-site Scripting na página falha.php. Ela
possibilita a execução de scripts maliciosos para roubar dados, modificar conteúdo do site ou direcionar usuários para sites maliciosos. A falha foi reportada ao desenvolvedor do plugin e ao time de plugins do WordPress no final de agosto, porém não recebemos resposta de nenhuma das partes. A vulnerabilidade foi documentada como CVE-2013-5916 pelo CVE.

Referências NOSpamPTI:
NOSpamPTI SVN repository – http://plugins.svn.wordpress.org/nospampti/trunk/nospampti.php
Bugtraq Disclosure – http://seclists.org/bugtraq/2013/Sep/101
Common Vulnerabilities and Exposures (CVE) – http://cve.mitre.org/

Referências WordPress Bradesco-gateway:
Bradesco-gateway – http://plugins.svn.wordpress.org/bradesco-gateway/trunk/bradesco-gateway.php
Bugtraq Disclosure – http://seclists.org/bugtraq/2013/Sep/111
Common Vulnerabilities and Exposures (CVE) – http://cve.mitre.org/