O plugin designa-se por Fancy Product Designer, e foi descoberta uma falha crítica de upload de ficheiro, que pode ser usada para carregar malware nos sites em que o mesmo esteja instalado.

Este plugin permite que cada negócio possa oferecer produtos personalizados, ou seja, os clientes podem desenhar qualquer tipo de item, desde T-shirts a a acessórios de telemóvel, através do carregamento de imagens e ficheiros pdf

Apesar de o plugin já ter alguns mecanismos de defesa, os mesmos podiam ser ultrapassados facilmente, e os atacantes podiam carregar ficheiros php em qualquer site.

Desta forma, eis os indicadores de comprometimento (IOC's) descobertos:

IP's:

69.12.71.82

92.53.124.123

46.53.253.152

Ficheiros com um ID único e extensão em php. Por exemplo:

wp-content/2021/04/21/fjjfn3003494883nnjii39fn48nf.php

Desta forma, o atacante pode conseguir executar código remotamente e assumir o controlo total do site.

O que se aconselha a fazer

- Desinstalar o plugin até ser encontrada uma solução que corrija a falha

Mais informações no blogue dos investigadores: https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/