As injeções SQL continuam a ser uma ameaça. A 17 de julho, o WordPress lançou uma atualização de segurança de emergência. A versão 7.0.2 corrige uma falha de execução remota de código sem autenticação no núcleo do WordPress, que um atacante anónimo pode explorar numa instalação padrão, sem qualquer plugin envolvido. Se o seu site estiver a utilizar uma versão afetada, atualize-o ainda hoje. O WordPress.org ativou as atualizações automáticas obrigatórias para os sites afetados, devido à gravidade desta falha. Estamos a acompanhar esta vulnerabilidade no Aikido .
Adam Kues, da Searchlight Cyber, comunicou a falha e publicou um verificador no site wp2shell.com para que possa verificar se o seu site está vulnerável. (No entanto, o site tem estado fora de serviço ocasionalmente.) O próprio aviso do núcleo do WordPress descreve-o como um problema de confusão entre rotas de lote da API REST e de injeção de SQL que conduz à execução remota de código, com o ponto final de lote em /wp-json/batch/v1 como ponto de entrada. A Searchlight estima que mais de 500 milhões de sites utilizam o WordPress, pelo que o número de sites vulneráveis é elevado.
Obter a versão correta é a principal prioridade. Se utilizar Aikido , o seu firewall integrado foi concebido para bloquear a injeção SQL em que esta falha se baseia; assim, um site sem a correção mantém uma defesa em tempo de execução enquanto a atualização é implementada.
Versões afetadas
A falha de execução remota de código afeta:
- WordPress 6.9.0 a 6.9.4, corrigido na versão 6.9.5
- WordPress 7.0.0 a 7.0.1, corrigido na versão 7.0.2
- WordPress 7.1 beta, corrigido na versão 7.1 beta2
Qualquer versão anterior à 6.9.0 não está vulnerável à RCE. O WordPress 6.8 está exposto a um problema distinto de injeção de SQL, corrigido na mesma atualização, pelo que os sites que utilizam a versão 6.8 devem atualizar para a versão 6.8.6. As versões anteriores à 6.8 não são afetadas por nenhum destes problemas.
O que fazer agora
Atualize o WordPress imediatamente. A versão 7.0.2 contém a correção, ou a 6.9.5, caso esteja a utilizar a ramificação 6.9. A maioria dos sites com atualizações em segundo plano ativadas irá recebê-la automaticamente, mas deve confirmar a versão no seu painel de controlo, em vez de partir de suposições.
Se não for possível atualizar imediatamente, o comunicado enumera algumas medidas temporárias. Pode instalar um plugin que bloqueie o acesso não autenticado à API REST, bloquear tanto o caminho /wp-json/batch/v1 e o parâmetro de consulta rest_route=/batch/v1 no seu WAF, ou adicione um pequeno plugin obrigatório que exija autenticação na rota REST de processamento em lote. Cada uma destas medidas pode interferir com o tráfego legítimo da API REST, pelo que deve tratá-las como uma solução temporária até aplicar a correção.
Esta falha é monitorizada no Aikido , o nosso serviço de atualizações em tempo real que identifica novas vulnerabilidades e malware nos ecossistemas de código aberto
proteção em tempo de execução Aikido
Esta é a segunda falha de injeção SQL numa única versão do núcleo do WordPress. Há anos que os programadores afirmam que a injeção SQL é um problema resolvido, mas continua a assombrar-nos. Continua a surgir no software principal e nas dependências, sendo frequentemente acessível a utilizadores anónimos antes de ser corrigida.
Aikido é uma firewall incorporada que funciona no interior da sua aplicação e inspeciona os dados introduzidos pelo utilizador à medida que estes fluem para a sua base de dados. Bloqueia a injeção de SQL, a injeção de comandos e o traversal de caminho em tempo de execução, e instala-se com apenas algumas linhas de código. O Zen foi concebido para detetar este tipo de ataque — a injeção de SQL impulsionada por dados introduzidos pelo atacante — à medida que o pedido é processado. Para equipas que não conseguem aplicar correções assim que surge uma vulnerabilidade «zero-day», essa camada de tempo de execução mantém a defesa enquanto implementam a correção de acordo com o vosso próprio calendário.
Aplica primeiro a correção. Executa o Zen, para que a próxima injeção não autenticada tenha onde parar.
Acompanhamento de vulnerabilidades com Aikido
Esta falha é monitorizada no Aikido , juntamente com os outros problemas do núcleo do WordPress corrigidos na mesma versão. O Intel é um feed em tempo real que analisa os novos lançamentos nos ecossistemas de código aberto à medida que são publicados, incluindo o WordPress, e identifica vulnerabilidades e malware em poucos minutos, muitas vezes antes de estes chegarem às bases de dados CVE públicas.

Se já utiliza o Intel, os alertas do WordPress já se encontram no seu feed, pelo que pode acompanhar este e quaisquer outros que surjam sem ter de consultar uma dúzia de fontes. O feed está aberto e pode ser consultado gratuitamente em intel.aikido.dev, estando disponível sob uma licença de código aberto e através de uma API comercial, caso pretenda importar os dados para as suas próprias ferramentas.

