Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

A vulnerabilidade foi descoberta pelo pesquisador de segurança cibernética do Wordfence, Ramuel Gall.
Compartilhe

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

Uma vulnerabilidade de desvio de autenticação foi encontrada no plug-in WordPress MStore API. Identificado como CVE-2023-2732 e atribuído a uma pontuação preocupante do Common Vulnerability Scoring System (CVSS) de 9,8, essa brecha de segurança é uma ameaça potente para mais de 5.000 sites WordPress que utilizam esse plug-in.

Teste de penetração CVE-2023-2732

O plug-in MStore API, uma engrenagem vital no sistema de comércio eletrônico móvel Fluxstore, ganhou popularidade substancial por sua alta produtividade e eficiência de custo. A Fluxstore, nascida do berço inovador da estrutura Flutter do Google, tem como missão simplificar a jornada de aplicativos móveis desde o estágio de desenvolvimento até o mercado. No entanto, uma vulnerabilidade nesta ferramenta amplamente utilizada, especificamente em versões até e incluindo 3.9.2, ameaça lançar uma sombra negra sobre sua reputação estelar.

A raiz da falha CVE-2023-2732 está no processo de verificação insuficiente do usuário fornecido durante a solicitação da API REST ‘adicionar listagem’ por meio do plug-in. Em termos mais simples, o plug-in não consegue autenticar adequadamente as identidades de seus usuários, abrindo assim um portal para entidades nefastas explorarem. Armados com um ID de usuário, invasores não autenticados podem contornar as medidas de segurança e se passar por qualquer usuário existente no site, até mesmo um administrador, assumindo assim o controle do site.

O que acrescenta uma camada de urgência a essa situação é que o submundo cibernético não está apenas ciente dessa vulnerabilidade , mas está examinando ativamente as vastas extensões da Internet para identificar e explorar versões de plugins vulneráveis ​​em sites WordPress. Em uma prova da ameaça crescente, o Wordfence, uma solução de segurança líder para WordPress, bloqueou um número impressionante de 794 ataques direcionados a essa vulnerabilidade no período de um único dia.

Hackers estão explorando vulnerabilidade CVE-2023-2732 no plugin MStore API do WordPress

A correção foi lançada com MStore API versão 3.9.3. Todos os usuários de plug-in são recomendados para atualizar para a versão mais recente o mais rápido possível.