Especialistas da empresa de segurança Sucuri divulgaram nesta última quarta-feira (6) informações sobre uma mais uma brecha no CMS WordPress. A falha da vez afeta qualquer plugin ou tema que dependa do pacote genericons, e deixa sites que os utilizam suscetíveis a ataques que podem deixar a página nas mãos de um invasor.

A análise descobriu que o add-on JetPack, que tem mais de um milhão de instalações, e o tema TwentyFifteen, que vem instalado por padrão, são afetados. Páginas que os utilizam podem ser atingidas por um golpe de um criminoso graças a uma vulnerabilidade de Cross-Site Scripting (XSS) baseada em Modelos de Objeto de Documentos (DOM).

Mas e o que isso significa, afinal? Basicamente que, caso o administrador de uma página no WordPress clique em um link malicioso, um script é ativado e permite que um invasor faça mudanças no código ou nas configurações, segundo o relato do especialista Graham Cluley.

Especificamente no caso de uma falha baseada em DOM, o ataque acontece basicamente no lado da vítima, e nunca passa pelo servidor web. De acordo com um trecho destacado pela Sucuri, “a página [que serve de isca] não muda não muda, mas o código do lado do cliente contido na página é executado de forma diferente devido a modificações maliciosas ocorridas no ambiente DOM”. Ou seja, mesmo um firewall de website não resolveria o problema.

Ataques que se aproveitam dessa nova brecha foram relatados antes mesmo que ela fosse descoberta por especialistas, e por isso é bom saber como se prevenir. A dica da Sucuri é apagar os arquivos example.html de dentro de um diretório genericons ou simplesmente atualizar o WordPress – a versão 4.2.2 foi liberada na última quarta para tampar o buraco.