O Social Warfare é um plugin popular de Wordpress com centenas de milhares de downloads, permitindo que o administrador adicione botões de partilha a um site wordpress.

Recentemente, foram descobertas campanhas maliciosas a usar duas vulnerabilidades críticas deste plugin para tomar controlo dos sites wordpress que o estejam a utilizar.

As vulnerabilidades encontradas correspondem a um XSS ou Cross-site scripting, e uma execução de código remota, ambas tratadas como CVE-2019-9978. De notar que a primeira falha tem sido usada para redirecionar os utilizadores para sites maliciosos e, por exemplo, infetar o seu sistema para minerar moedas.

A exploração destas falhas é possível abusando da função is_admin() do Wordpress.

Versão corrigida

3.5.3

Fonte: https://threatpost.com/exploits-social-warfare-wordpress/144051/