Milhões de sites WordPress e Drupal vulneráveis

Esta vulnerabilidade, envolvendo um problema com o XML, afecta as versões de WordPress 3.5 a 3.9.1 e Drupal 6.x e 7.x. Este ataque pode fazer com que um servidor web deixe de estar operacional numa questão de segundos, fazendo com que outros clientes no mesmo servidor também sofram por “tabela”.

A vulnerabilidade, descoberta pelo investigador de segurança Nir Goldshlage da equipa de segurança do Salesforce.com, envolve um ataque conhecido como XML Quadratic Blowup Attack:.

Num artigo publicado pelo investigador, onde inclui o exploit para usar em sites vulneráveis, são mostrados vários exemplos de como o exploit funciona.

Foi ainda divulgado um vídeo, que divulgamos também, onde é mostrado o exploit em acção:

 

Como resolver?

Ambas as empresas – WordPress e Drupal – já divulgaram soluções para contornar este problema. No entanto, é aconselhável remover o ficheiro xmlrpc.php presentes tanto no WordPress como no Drupal.

O WordPress tem, desde a versão 3.7, updates automáticos. Estes permitem resolver o problema sem interacção do utilizador.

 

Download do exploit

 

 

wavdesign-drupal-to-wordpress

Compra aqui a tua VPN
Partilhe no Facebook

Floating Widgets