O plugin popular "ThemeGrill Demo Importer" tem mais de 200.000 instalações, e contém uma falha no software fácil de explorer, mas que não tem ainda solução, e que permite a um atacante, de forma remota, comprometer uma série de websites e blogues.

Este plugin permite aos administradores importar conteúdo demo, widgets e definições do ThemeGrill, tornando mais fácil a personalização do tema.

A WebARX confirma num relatório que, assim que o plugin é instalado e ativado, executa algumas funções com privilégios de administrador sem verificar, no entanto, se o utilizador é de facto administrador ou não. Uma falha destas pode permitir alterar e mesmo apagar bases de dados inteiras de sites e tomar o controlo total.

Segundo os próprios investigadores, esta falha é séria, e não é expetável que nenhuma firewall bloqueie isto por defeito; é preciso criar uma regra especial.

Versões afetadas:

ThemeGrill Demo Importer plugin version 1.3.4 up to 1.6.1.

Versão corrigida:

patched version 1.6.2

A atualização pode ser feita de forma automática aquando da notificação aos administradores ou os mesmos podem escolher fazê-la manualmente.

Mais informações: https://www.zdnet.com/article/bug-in-wordpress-plugin-can-let-hackers-wipe-up-to-200000-sites/