Wordfence detecta nova onda de ataques a plugins de WordPress com falhas críticas

A empresa de segurança cibernética Wordfence identificou uma nova onda de exploração em massa mirando ambientes WordPress a partir de 8 de outubro de 2025. Os ataques buscam vulnerabilidades críticas em dois plugins da plataforma. O ataque permite a invasores não autenticados instalar software e potencialmente assumir o controle dos sites.

As falhas, divulgadas pela primeira vez no final de 2024, afetam os plugins GutenKit e Hunk Companion. O GutenKit possui mais de 40.000 instalações ativas e o Hunk Companion, mais de 8.000. Embora os patches estivessem disponíveis há mais de um ano, hackers retomaram as atividades em larga escala, motivando pedido para que administradores de sites atualizem imediatamente.

Como a vulnerabilidade permite o ataque

As vulnerabilidades, classificadas como críticas com pontuação CVSS de 9,8, resultam da ausência de verificações de autorização nos pontos de extremidade da API REST dos plugins. Isso significa que qualquer pessoa pode instalar e ativar plugins sem autenticação. Pesquisadores da Wordfence, incluindo Sean Murphy e Daniel Rodriguez, identificaram os problemas por meio de programa de recompensas por bugs.

Nas versões do GutenKit até 2.1.0, o endpoint “install-active-plugin” carece de permissões adequadas. Isso permite o upload e descompactação de arquivos ZIP maliciosos diretamente no diretório de plugins do WordPress. O processo pode levar à execução remota de código (RCE) por meio da implantação de backdoors disfarçados de plugins legítimos.

De modo similar, as versões do Hunk Companion até 1.8.5 expõem o endpoint “themehunk-import”. Os atacantes exploram essa falha para obter plugins vulneráveis do repositório do WordPress, como o wp-query-console sem correção, que contém a própria falha RCE.

O impacto da exploração e a resposta da segurança

Registros de ataques revelam táticas. Um payload comum, hospedado no GitHub, inclui scripts PHP ofuscados que imitam o All in One SEO para controle administrativo, além de gerenciadores de arquivos para upload de malware e ferramentas para espionagem de rede e desfiguração em massa. Outra tentativa visa instalar o wp-query-console para encadear exploits.

O firewall da Wordfence já bloqueou mais de 8,75 milhões de tentativas desde que as regras de segurança foram implementadas em setembro de 2024, com um pico registrado em 8 e 9 de outubro de 2025. O propósito dos invasores é tomar o controle e instalar softwares em massa.