Plugin com vulnerabilidade

  • Este plugin está com vulnerabilidade de acordo com o Wordfence. Existe alguma atualiza??o no radar ou devemos deixar de usar este recurso?

Viewing 9 replies - 1 through 9 (of 9 total)

  • Pelo jeito o RD abandonou esse plugin.

    Mais informa??es sobre a vulnerabilidade. Espero que seja resolvido em breve!

    Plugin Name: RD Station
    Current Plugin Version: 5.1.3
    Details: To protect your site from this vulnerability, the safest option is to deactivate and completely remove “RD Station” until a patched version is available.
    Repository URL: https://www.ads-software.com/plugins/integracao-rd-station
    Vulnerability Information: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38139

    Parece que esse problema foi resolvido na vers?o 5.2.0 do plugin.

    Thread Starter Ricardo Campos

    (@rtatu)

    Que ótima noticia, obrigado a todos

    O problema voltou a ser reportado pelo WordFence. Parece que o desenvolvedor do plugin ainda n?o confirmou a corre??o de seguran?a. Aqui tem mais informa??es sobre a vulnerabilidade: https://patchstack.com/database/vulnerability/integracao-rd-station/wordpress-rd-station-plugin-5-1-3-multiple-cross-site-request-forgery-csrf-vulnerabilities

    Um cliente meu recebeu a seguinte resposta da equipe comercial da RD:

    “Foi reportada uma vulnerabilidade no nosso plugin wordpress através do site Patchstack a vulnerabilidade foi estudada pelo nosso time de seguran?a e avaliada como de baixo risco.

    A vulnerabilidade está ligada a uma funcionalidade de logs, esse logs n?o mostram dados de clientes, somente se as requisi??es deram sucesso ou n?o. Já estamos processando uma nova vers?o do plugin para ser aplicada à avalia??o do Patchstack, tudo bem?”

    Olá a todos,

    Meu nome é André Olivato, sou engenheiro de seguran?a na RD Station, recebemos a notifica??o desse problema e agimos para mitigar o problema, na vers?o atual o problema já foi sanado, foi testado conforme a POC que o pesquisador de seguran?a nos enviou, agora falta somente uns ajustes que pacthstack solicitou para finalizarmos essa a??o.

    mauriciodulce

    (@mauriciodulce)

    Hello,

    when are you going to fix the problem, a couple of weeks ago a site was attacked by this vulnerability, the entire database was replaced, we contacted you and this was the response

    Hola, ?cómo estás? ??

Mi nombre es Davi, soy del soporte de RD Station, experto en integración y te ayudaré con esta pregunta.

Por lo que he entendido, tienes dudas sobre la integración vía plugin con WordPress, ?verdad?

 

Hoy se ha confirmado que esta situación es una deuda técnica por nuestra parte, ?de verdad! Ya tenemos este tema mapeado y estamos trabajando para solucionarlo. ?A continuación, detallo el comportamiento!

?Cómo se produce el comportamiento?

Actualmente en RD Station Marketing, no dispone de una versión actualizada del plugin que genera este error de seguridad. 

?Qué está haciendo RD Station Marketing para solucionarlo?

Nuestros ingenieros ya han recogido sus comentarios y esto nos ayuda a trabajar en la construcción de una solución definitiva para esta deuda técnica que ya se está estructurando.

Entiendo el impacto que esto tiene para usted hoy, pero le repito que esta deuda ya ha sido mapeada y será atendida por nuestros ingenieros lo antes posible.

Apreciamos mucho su contribución, porque nos ayuda a entender mejor el problema y a acelerar su resolución.

Espero haberte ayudado y estoy a tu disposición.
Saludos. :)
Davi Menezes - Soporte al Cliente Multiproducto l RD STATION
Nosotros ? RD

    Hello mauriciodulce,

    The vulnerability was completely fixed in the version 5.2.1, the vulnerability was related applcation’s log cleaning function on plugin, according with the Proof Of Concept that was sent for us for the security researcher, that was the only function affected by this CSRF failure.

Viewing 9 replies - 1 through 9 (of 9 total)
  • The topic ‘Plugin com vulnerabilidade’ is closed to new replies.