Há uma falha classificada como "zero day", que afeta de momento pelo menos 1 milhão de sites, que correm o plugin Duplicator.

A função deste plugin é essencialmente permitir que os utilizadores possam copiar, mover ou clonar um site de um sítio para o outro, servindo também como utilidade de backup.

Versões afetadas

Anterior à 1.3.28 e Duplicator Pro anterior à 3.8.7.1.

O problema pode ser explorado por um atacante não autenticado e de forma remota enviando um pedido especialmente modificado a um site Wordpress que corra uma versão vulnerável do plugin.

Se um atacante tiver conhecimento da estrutura do sistema de ficheiros do site que está a atacar, consegue fazer download de ficheiros fora do diretório pretendido.

Isto acontece, devido à existência de duas funções inerentes ao plugin - duplicador_download e duplicator_init - que foram implementadas usando o wp_ajax_nopriv_hook e que permitem que qualquer página do wordpress carregue sem que o utilizador esteja loggado.

Assim que os atacantes conseguem acesso ao ficheiro de configuração do site, conseguem as credenciais da base de dados e chaves de autenticação.

Mais informações: https://www.wordfence.com/blog/2020/02/active-attack-on-recently-patched-duplicator-plugin-vulnerability-affects-over-1-million-sites/