Uma vulnerabilidade identificada em um plugin de associação do WordPress está sendo explorada por invasores para criar contas administrativas não autorizadas em sites afetados. A falha pode permitir que atacantes obtenham privilégios elevados e assumam controle total da plataforma.
O problema foi encontrado no plugin SureMembers, utilizado para gerenciar áreas restritas e conteúdo exclusivo para membros. A vulnerabilidade permite que usuários mal-intencionados registrem novas contas com permissões administrativas sem passar pelos controles de autenticação esperados.
Após a criação da conta administrativa, o invasor pode modificar configurações do site, alterar conteúdos, instalar plugins maliciosos ou inserir backdoors para manter acesso persistente ao sistema comprometido.
A exploração da falha representa um risco significativo para sites que utilizam versões vulneráveis do plugin. Plataformas baseadas em WordPress são frequentemente alvo de ataques devido à sua ampla popularidade e ao grande número de extensões disponíveis.
Administradores de sites são orientados a atualizar imediatamente o plugin para a versão mais recente, onde o problema já foi corrigido. A aplicação rápida de atualizações é considerada a principal medida para evitar a exploração da vulnerabilidade.
Também é recomendado revisar a lista de usuários administrativos e remover contas desconhecidas ou suspeitas que possam ter sido criadas durante tentativas de invasão. A verificação de logs de acesso e atividades administrativas pode ajudar a identificar ações não autorizadas e possíveis sinais de comprometimento do site.
