Impacto crítico de zero-days em plugins imobiliários premium do WordPress

O tema RealHome e os plugins Easy Real Estate para WordPress são vulneráveis ​​a duas falhas de gravidade crítica que permitem que usuários não autenticados obtenham privilégios administrativos.

Embora as duas falhas tenham sido descobertas em setembro de 2024 pelo Patchstack, e várias tentativas de contato com o fornecedor (InspiryThemes) tenham sido feitas, os pesquisadores dizem que não receberam uma resposta.

Além disso, o Patchstack diz que o fornecedor lançou três versões desde setembro, mas nenhuma correção de segurança para resolver os problemas críticos foi introduzida. Portanto, os problemas permanecem sem solução e passíveis de exploração.


Detalhes da vulnerabilidade

O tema RealHome e o Easy Real Estate estão entre os temas e plugins mais populares projetados para uso em sites imobiliários. De acordo com dados do Envanto Market, o tema RealHome é usado em 32.600 sites.

A primeira falha, que afeta o tema RealHome, é um problema de escalonamento de privilégios não autenticado rastreado como CVE-2024-32444 (pontuação CVSS: 9,8).

O tema permite que os usuários registrem novas contas por meio da função inspiry_ajax_register, no entanto, ele não verifica corretamente a autorização nem implementa uma validação nonce.

Se o registro estiver habilitado no site, os invasores podem especificar arbitrariamente sua função como "Administrador" em uma solicitação HTTP especialmente criada para a função de registro, essencialmente ignorando as verificações de segurança.

Após se registrar como administrador, o invasor pode obter controle total do site WordPress, incluindo manipulação de conteúdo, implantação de scripts e acesso a dados do usuário ou outros dados confidenciais.

A falha que afeta o plugin Easy Real Estate é outro problema de escalonamento de privilégios não autenticado por meio do login social. É rastreado sob CVE-2024-32555 (pontuação CVSS: 9,8).

O problema decorre do recurso de login social, que permite que os usuários façam login usando seu endereço de e-mail sem verificar se ele pertence à pessoa que fez a solicitação.

Como resultado, se um invasor souber o endereço de e-mail de um administrador, ele poderá fazer login sem precisar de uma senha. As repercussões da exploração bem-sucedida são semelhantes às do CVE-2024-32444.

Recomendações de mitigação

Como nenhum patch foi lançado ainda pela InspiryThemes, proprietários e administradores de sites que usam o tema ou plugin em questão devem desativá-los imediatamente.

Restringir o registro de usuários em sites afetados também impediria a criação de contas não autorizadas, limitando o potencial de exploração.

Como os problemas nos dois complementos agora são públicos, os agentes de ameaças devem explorar seu potencial e procurar sites vulneráveis, portanto, responder rapidamente para mitigar a ameaça é crucial neste momento.

Fonte: https://www.bleepingcomputer.com/news/security/critical-zero-days-impact-premium-wordpress-real-estate-plugins/