“Essa função é extremamente perigosa, para ser honesta e nunca deve ser usada”, escreveu o pesquisador de segurança da SNICCO, Calvin Alkan.Em outubro passado, o Balada Injector atingiu 17.000 sites do WordPress, incluindo 9.000 afetados por um bug (CVE-2023-3169) no compositor de tagdiv do plug-in de criação de páginas.Não se sabe se Balada Injector, que infectou pelo menos um milhão de sites do WordPress desde 2017, está envolvido na exploração do CVE-2024-25600.Detalhes técnicos sobre o bug foram divulgados pela primeira vez no domingo;No mesmo dia, a exploração ativa da falha foi relatada pela empresa de proteção de vulnerabilidades do WordPress Patchstack.Página do banco de dados de vulnerabilidades do Wordfence para CVE-2024-25600 Notas 36 Ataques direcionados à vulnerabilidade foram bloqueados em 24 horas, a partir de 19 de fevereiro.
Fonte: https://www.scmagazine.com/news/wordpress-plugin-under-attack-bricks-builder-bug-enables-rce
