Plugin de redirecionamento do WordPress esconde backdoor por cinco anos
Plugin popular do WordPress, Quick Page/Post Redirect, escondia backdoor por cinco anos, afetando mais de 70.000 sites e permitindo injeção de código.
Tag
Tag: plugin
12 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a plugin.
Hackers exploram falha crítica no plugin Breeze Cache do WordPress
Uma falha crítica no plugin Breeze Cache do WordPress permite upload de arquivos sem autenticação, sendo explorada ativamente por hackers para executar código remoto.
Suite de plugins WordPress é hackeada para injetar malware em milhares de sites
Mais de 30 plugins do pacote EssentialPlugin foram comprometidos com código malicioso que permite acesso não autorizado a sites. O ataque afeta a infraestrutura web global e exige atualização imediata.
Atualizações do Smart Slider são sequestradas para injetar backdoors em WordPress e Joomla
Ataque de cadeia de suprimentos sequestra atualizações do Smart Slider 3 Pro para injetar backdoors em WordPress e Joomla, comprometendo milhares de sites.
Falha de leitura de arquivos em plugin WordPress afeta mais de 500 mil sites
Vulnerabilidade no plugin Smart Slider 3 permite leitura de arquivos arbitrários em mais de 500 mil sites WordPress, exigindo atualização imediata.
Vulnerabilidade SQLi em plugin WordPress afeta mais de 250 mil sites
Vulnerabilidade SQLi em plugin WordPress afeta mais de 250 mil sites. Falha permite roubo de dados sem autenticação, exigindo atualização imediata.
Falha crítica em plugin do WordPress permite criação de contas de administrador
Falha crítica (CVSS 9.8) no plugin User Registration & Membership do WordPress permite que atacantes não autenticados criem contas de administrador. Versões até 5.1.2 são afetadas; patch já está disponível.
Backdoor em plugin Elementor afeta 20 mil sites; CVE-2026-0920 é crítico
Foi identificado um backdoor crítico (CVE‑2026‑0920, CVSS 9.8) no plugin LA‑Studio Element Kit para Elementor que permitia a criação de contas administrativas sem autenticação. A falha afeta versões ≤1.5.6.3; a correção (1.6.0) foi publicada em 14/01/2026. Administradores devem atualizar, auditar contas e procurar sinais de comprometimento.
Falha crítica em plugin ACF Extended permite criação de admin sem autenticação
Uma falha crítica no plugin Advanced Custom Fields: Extended (CVE-2025-14533, CVSS 9.8) permitia a criação de contas administradoras via formulários públicos mapeados. Mais de 100.000 sites usam o plugin; o vendor liberou a versão 0.9.2.2 enquanto scanners e WAFs já recebem assinaturas.
Exploração ativa: plugin Modular DS dá acesso admin instantâneo
Falha crítica (CVE-2026-23550, CVSS 10.0) no plugin Modular DS para WordPress está sendo explorada em ambiente real. Versões até 2.5.1 permitem criação automática de administradores; a versão 2.5.2 corrige o problema. Patchstack registrou tentativas a partir de 13/01/2026 e publicou IOCs.