Uma falha crítica no plugin pode e tem vindo a ser explorado por atacantes para executarem código remotamente nos sistemas afetados.

De momento, o plugin está instalado em dezenas de milhares de websites e, de acordo com a Wordfence, a falha tem sido ativamente explorada como zero-day.

O objetivo do plugin é que os utilizadores consigam várias "skins" para a aparência dos sites.

Onde reside a falha?

A falha reside essencialmente no ficheiro ~/includes/plugin.rest-api.php. Para haver compatibilidade com o plugin Gutenberg, o plugin de Addons ThemeRex usa o endpoint de REST /trx_addons/v2/get/sc_layout, que por sua vez chama a função trx_addons_rest_get_sc_layout”.

Assim que a API interage com o Gutenberg, os endpoints são os touchpoints dessa comunicação.

Desta forma, os investigadores reparam numa funcionalidade usada nos parâmetros GET dos widgets presentes no plugin Gutenberg, e aí se encontrava a razão de ser da falha de execução de código remota.

Com esta vulnerabilidade, o atacante podia usar a função wp_insert_user, de forma a criar contas administrativas de utilizador e tomar o controlo de sites com esse plugin vulnerável.

Os desenvolvedores do ThemeRex já a corrigiram, removendo o ficheiro ~/plugin.rest-api.php do código fonte.

Mais informações: https://threatpost.com/themerex-wordpress-plugin-remote-code-execution/153592/