Vulnerabilidades do plug-in WordPress do Seraphinite Accelerator afetam 60 mil sites

Um aviso de segurança foi emitido para duas vulnerabilidades que afetam o plugin Seraphinite Accelerator WordPress instalado em mais de 60.000 sites. As vulnerabilidades podem ser exploradas por qualquer usuário logado com acesso mínimo de assinante.

A falha do plugin Seraphinite Accelerator WordPress permite que invasores autenticados recuperem dados operacionais internos de um site e também façam alterações não autorizadas. O problema afeta todas as versões do plugin até 2.28.14 inclusive. Os desenvolvedores corrigiram a vulnerabilidade na versão 2.28.15.

O que o plug-in faz

Seraphinite Accelerator é um plugin de desempenho usado para acelerar sites WordPress. A principal função é criar versões de páginas em cache para que o servidor não precise gerá-las toda vez que alguém visitar o site. O plugin também suporta vários formatos de compactação, incluindo GZip, Deflate e Brotli, permite o cache do navegador e separa os dados armazenados em cache para diferentes dispositivos e ambientes, a fim de reduzir a carga do servidor.

Quem pode explorar a vulnerabilidade

A vulnerabilidade requer autenticação para explorar a falha, mas apenas no nível baixo de assinante, que é comumente atribuído a usuários que se cadastram em um site. Isso significa que os invasores não precisam de acesso de administrador. Uma conta de usuário básica é suficiente para acionar a função vulnerável.

Qual é a falha de segurança

A vulnerabilidade existe porque o plugin não verifica se um usuário tem permissão para acessar uma função específica da API. O plugin expõe um endpoint AJAX chamado seraph_accel_api. Uma das funções que podem ser chamadas através desse endpoint é Obter dadosque é tratado internamente pelo OnAdminApi_GetData() função.

De acordo com a assessoria:

“O plug-in Seraphinite Accelerator para WordPress é vulnerável à exposição de informações confidenciais em todas as versões até 2.28.14, inclusive, por meio da ação `seraph_accel_api` AJAX com `fn=GetData`. Isso ocorre porque a função `OnAdminApi_GetData()` não realiza nenhuma verificação de capacidade.

Isso possibilita que invasores autenticados, com acesso de nível de assinante e superior, recuperem dados operacionais confidenciais, incluindo status de cache, informações de tarefas agendadas e estado de banco de dados externo.”

Em um segundo comunicado sobre uma vulnerabilidade semelhante, o Wordfence alerta sobre modificações que invasores podem fazer em um site:

“O plug-in Seraphinite Accelerator para WordPress é vulnerável à modificação não autorizada de dados devido a uma verificação de capacidade ausente na ação `seraph_accel_api` AJAX com `fn=LogClear` em todas as versões até 2.28.14 inclusive. Isso torna possível para invasores autenticados, com acesso de nível de assinante e superior, limpar os logs de depuração/operacionais do plug-in.”

No WordPress, as verificações de capacidade são usadas para confirmar se um usuário tem permissão para executar uma ação administrativa. Os plug-ins normalmente exigem o recurso manager_options para funções que expõem dados internos do sistema.

Como essa verificação estava faltando, o plugin permitiu que qualquer usuário logado chamasse a função da API e recuperasse informações que deveriam estar disponíveis apenas para administradores.

A parte afetada do plugin é:

• um controlador/despachante “Admin API” (porque os métodos são nomeados OnAdminApi_*)
• o endpoint/função específico: GetData
• e provavelmente outro endpoint/função: LogClear (do changelog)

A “área de script” afetada são as partes que:

• recebe o pedido
• lê fn
• chama OnAdminApi_GetData() (e similarmente OnAdminApi_LogClear() ou equivalente)

O principal problema é a autorização quebrada porque a função OnAdminApi_GetData() somente de administrador não executa verificações de capacidade.

O que os invasores podem acessar

A função vulnerável retorna informações operacionais sobre o plugin e o ambiente do site.

Os invasores podem recuperar:

• Informações de status do cache
• Informações de tarefas agendadas
• Estado do banco de dados externo

Essas informações revelam como o plugin está operando no servidor e como determinados processos são agendados. Embora isso não dê diretamente aos invasores o controle do site, ele expõe detalhes internos do sistema que normalmente são restritos aos administradores.

Como a vulnerabilidade foi corrigida

Os desenvolvedores corrigiram a falha na versão 2.28.15 restringindo o acesso às funções da API afetadas.

O changelog do plugin explica que as funções da API LogClear e GetData podem ser chamadas por usuários que não têm o privilégio manage_options. A correção restaura a verificação de capacidade necessária para que somente administradores autorizados possam acessar essas funções.

O que os proprietários de sites devem fazer

Os proprietários de sites que usam o plugin Seraphinite Accelerator devem atualizar para a versão 2.28.15 ou mais recente. A atualização remove o acesso exposto à API e evita que usuários no nível de assinante recuperem os dados operacionais.

Imagem em destaque por Shutterstock/Max Acrônimo