Pelo jeito o RD abandonou esse plugin.
Mais informações sobre a vulnerabilidade. Espero que seja resolvido em breve!
Plugin Name: RD Station
Current Plugin Version: 5.1.3
Details: To protect your site from this vulnerability, the safest option is to deactivate and completely remove “RD Station” until a patched version is available.
Repository URL: https://wordpress.org/plugins/integracao-rd-station
Vulnerability Information: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-38139
Parece que esse problema foi resolvido na versão 5.2.0 do plugin.
Que ótima noticia, obrigado a todos
O problema voltou a ser reportado pelo WordFence. Parece que o desenvolvedor do plugin ainda não confirmou a correção de segurança. Aqui tem mais informações sobre a vulnerabilidade: https://patchstack.com/database/vulnerability/integracao-rd-station/wordpress-rd-station-plugin-5-1-3-multiple-cross-site-request-forgery-csrf-vulnerabilities
Um cliente meu recebeu a seguinte resposta da equipe comercial da RD:
“Foi reportada uma vulnerabilidade no nosso plugin wordpress através do site Patchstack a vulnerabilidade foi estudada pelo nosso time de segurança e avaliada como de baixo risco.
A vulnerabilidade está ligada a uma funcionalidade de logs, esse logs não mostram dados de clientes, somente se as requisições deram sucesso ou não. Já estamos processando uma nova versão do plugin para ser aplicada à avaliação do Patchstack, tudo bem?”
Olá a todos,
Meu nome é André Olivato, sou engenheiro de segurança na RD Station, recebemos a notificação desse problema e agimos para mitigar o problema, na versão atual o problema já foi sanado, foi testado conforme a POC que o pesquisador de segurança nos enviou, agora falta somente uns ajustes que pacthstack solicitou para finalizarmos essa ação.
Hello,
when are you going to fix the problem, a couple of weeks ago a site was attacked by this vulnerability, the entire database was replaced, we contacted you and this was the response
Hola, ¿cómo estás? 😁
Mi nombre es Davi, soy del soporte de RD Station, experto en integración y te ayudaré con esta pregunta.
Por lo que he entendido, tienes dudas sobre la integración vía plugin con WordPress, ¿verdad?
Hoy se ha confirmado que esta situación es una deuda técnica por nuestra parte, ¡de verdad! Ya tenemos este tema mapeado y estamos trabajando para solucionarlo. ¡A continuación, detallo el comportamiento!
¿Cómo se produce el comportamiento?
Actualmente en RD Station Marketing, no dispone de una versión actualizada del plugin que genera este error de seguridad.
¿Qué está haciendo RD Station Marketing para solucionarlo?
Nuestros ingenieros ya han recogido sus comentarios y esto nos ayuda a trabajar en la construcción de una solución definitiva para esta deuda técnica que ya se está estructurando.
Entiendo el impacto que esto tiene para usted hoy, pero le repito que esta deuda ya ha sido mapeada y será atendida por nuestros ingenieros lo antes posible.
Apreciamos mucho su contribución, porque nos ayuda a entender mejor el problema y a acelerar su resolución.
Espero haberte ayudado y estoy a tu disposición.
Saludos. :)
Davi Menezes - Soporte al Cliente Multiproducto l RD STATION
Nosotros ♥ RD
Hello mauriciodulce,
The vulnerability was completely fixed in the version 5.2.1, the vulnerability was related applcation’s log cleaning function on plugin, according with the Proof Of Concept that was sent for us for the security researcher, that was the only function affected by this CSRF failure.
