Milhões de sites WordPress e Drupal vulneráveis

  • ATENÇÃO - não estás seguro na net!
    Detectámos que estás a usar o IP 54.80.146.251 e que estás em Ashburn (ou perto) no país United States. Se nós conseguimos saber isto, os outros sites por onde andas também conseguem.

    Compra aqui a tua VPN profissional e navega seguro na Internet!

  • Esta vulnerabilidade, envolvendo um problema com o XML, afecta as versões de WordPress 3.5 a 3.9.1 e Drupal 6.x e 7.x. Este ataque pode fazer com que um servidor web deixe de estar operacional numa questão de segundos, fazendo com que outros clientes no mesmo servidor também sofram por “tabela”.

    A vulnerabilidade, descoberta pelo investigador de segurança Nir Goldshlage da equipa de segurança do Salesforce.com, envolve um ataque conhecido como XML Quadratic Blowup Attack:.

    Num artigo publicado pelo investigador, onde inclui o exploit para usar em sites vulneráveis, são mostrados vários exemplos de como o exploit funciona.

    Foi ainda divulgado um vídeo, que divulgamos também, onde é mostrado o exploit em acção:

     

    Como resolver?

    Ambas as empresas – WordPress e Drupal – já divulgaram soluções para contornar este problema. No entanto, é aconselhável remover o ficheiro xmlrpc.php presentes tanto no WordPress como no Drupal.

    O WordPress tem, desde a versão 3.7, updates automáticos. Estes permitem resolver o problema sem interacção do utilizador.

     

    Download do exploit

     

     

    wavdesign-drupal-to-wordpress

    Partilhe no Facebook
    Loading...