iBLISS descobre falha em plugin do WordPress
O time de pesquisas da iBLISS encontrou uma falha de Cross-site scripting no plugin Design-Approval-System do WordPress. Este plugin, atualmente com mais de 12.000 downloads, é muito popular entre designers porque facilita a aprovação de projetos por parte dos clientes.
A vulnerabilidade possibilita a execução de código malicioso no ambiente administrativo do plugin. Se explorada, permite a um atacante executar scripts para roubar dados, modificar o conteúdo do site ou direcionar usuários para sites maliciosos.
O pesquisador Alexandro Silva (Alexos), responsável pela descoberta, reportou a falha aos desenvolvedores. A vulnerabilidade foi documentada como CVE-2013-5711 pelo Common Vulnerabilities and Exposures (CVE), sistema criado pelos órgãos americanos NIST e MITRE para arquivamento de vulnerabilidades. A equipe de desenvolvimento do WordPress disponibilizou uma nova versão do plugin com a correção da falha.