Pesquisadores da empresa de segurança Sucuri divulgaram nesta terça-feira a descoberta de uma vulnerabilidade grave presente no plugin MailPoet, usado em páginas do WordPress e baixado cerca de 1,7 milhão de vezes. A falha, que atinge versões antigas do add-on, permite que invasores façam o upload de arquivos PHP no site, usando-o depois como “isca” para phishing e até para hospedar malware, por exemplo.

De acordo com um post no blog da Sucuri, os desenvolvedores da extensão foram avisados com antecedência sobre a brecha. Ela foi corrigida na nova versão 2.6.7 do MailPoet, liberada pouco antes da publicação do alerta – e justamente por isso, é recomendável que usuários com a aplicação ativa no website a atualizem o quanto antes.

Devido à natureza da falha, a empresa de segurança não revelou muitos detalhes técnicos sobre o problema. O texto diz apenas que essa vulnerabilidade acontecia devido a um equívoco dos desenvolvedores relacionado aos hooks “admin_init” – para eles, a função só era chamada por um administrador autenticado, e em páginas dentro do “/wp-admin”, o que não é bem verdade. Dessa forma, a funcionalidade do plugin ficava disponível para todos.

Caso você utilize o MailPoet para criar newsletters e responder automaticamente visitantes em sua página em WordPress, vale atualizá-lo por aqui. A dica, aliás vale para praticamente qualquer outro plugin usado no CMS, como bem citou o site Ars Technica.