Na semana passada, lançamos o WPML 4.6.13 e o WooCommerce Multilingual 5.3.7 para corrigir um problema de segurança relatado pela Wordfence. Queremos compartilhar detalhes adicionais sobre esta correção e o que ela significa para a segurança dos seus sites.
Cronologia dos eventos
No WPML, a segurança é nossa principal prioridade, e estamos comprometidos em garantir que seus sites permaneçam protegidos e seguros. Para esta correção, trabalhamos em estreita colaboração com a Wordfence, um dos nomes mais respeitados na comunidade de segurança do WordPress.
A Wordfence nos contatou sobre o problema do WPML em julho, mas infelizmente, a mensagem acabou na pasta de spam e passou despercebida por um tempo. Felizmente, eles nos enviaram um e-mail de acompanhamento em agosto e nós cuidamos disso, corrigindo a vulnerabilidade imediatamente e fornecendo à Wordfence uma versão corrigida para validação.
Sendo os grandes parceiros e especialistas que são, a Wordfence relatou outra vulnerabilidade XSS menor no processo, que também corrigimos imediatamente.
Enquanto isso, também recebemos um relatório da Patchstack sobre uma vulnerabilidade semelhante no WooCommerce Multilingual.
Após receber a confirmação deles de que a correção passou por todas as validações, lançamos o WPML 4.6.13 e o WooCommerce 5.3.7 em 20 de agosto.
O papel fundamental da Wordfence
Gostaríamos de aproveitar esta oportunidade para agradecer à Wordfence pela grande ajuda na identificação e correção dessas vulnerabilidades. A importância do trabalho deles para nós e para todo o ecossistema do WordPress não pode ser subestimada.
A diligência deles em acompanhar o relatório inicial e sua colaboração durante todo o processo de correção é um testemunho do compromisso deles com a comunidade do WordPress.
Como este exploit funciona e o que significa para você
Alguns artigos online descreveram este problema como um “exploit crítico” afetando mais de um milhão de sites. Embora concordemos completamente que segurança é um assunto sério, é importante esclarecer exatamente como este exploit funciona em situações reais.
Esta vulnerabilidade requer que um agente mal-intencionado tenha privilégios de edição em um site do WordPress. Isso significa que eles precisam ter uma função de usuário de Colaborador ou de nível superior no site alvo.
Dito isso, a gravidade se resume a quais tipos de usuários você tem em seu site. Se você e sua equipe são os únicos administradores/escritores/editores do site, não há ninguém fora de você ou sua equipe que possa explorar esta vulnerabilidade.
Por outro lado, se você está executando um site com usuários que têm acesso de nível Colaborador e você não conhece essas pessoas pessoalmente, você pode estar mais em risco.
Finalmente, queremos enfatizar que em nenhum momento a maioria dos usuários do WPML esteve em risco. A correção foi desenvolvida, testada e lançada em estreita colaboração com a Wordfence, e o problema foi totalmente resolvido.
Como sempre, recomendamos fortemente manter o WPML e o WooCommerce Multilingual atualizados em seus sites.
Em caso de qualquer preocupação
Para nossos usuários e parceiros que possam ter ficado preocupados com os relatórios recentes, queremos garantir que não há motivo para alarme. O problema foi rápida e efetivamente resolvido, e não há evidências de que tenha sido explorado na prática.
Se você tiver alguma dúvida ou preocupação, sinta-se à vontade para entrar em contato conosco.
Continuamos comprometidos com a segurança de seus sites e com nossa colaboração contínua com a Wordfence e outros especialistas em segurança.
Obrigado por sua confiança contínua no WPML,
Equipe WPML