Pesquisador torna público hack por bypass do WordPress CSP

2.6.22

 Um pesquisador de segurança descobriu uma técnica interessante, embora parcialmente desenvolvida, para contornar os controles CSP (Content Security Policy) usando o WordPress .



O hack, descoberto pelo pesquisador de segurança Paulos Yibelo , baseia-se em abusar da execução do mesmo método de origem.


Essa técnica usa preenchimento JSON para chamar uma função. Esse é o tipo de coisa que pode permitir o comprometimento de uma conta do WordPress, mas apenas com a adição de um exploit de cross-site scripting (XSS), que o pesquisador ainda não possui.


Yibelo disse ao The Daily Swig que eles não foram tão longe a ponto de tentar o truque em sites ativos, restringindo as explorações a um site de pesquisa de teste que eles próprios possuíam.

“Eu realmente não tentei porque requer um usuário ou administrador do WordPress logado para visitar meu site, então eu instalo o plugin e tenho uma injeção de HTML – o que é ilegal”, explicou Yibelo, acrescentando que eles não tentaram explorar o bug em sites de recompensas de bugs também.

O pesquisador acrescentou que eles relataram isso ao WordPress há três meses via HackerOne. Depois de não obter uma resposta, Yibelo veio a público com as descobertas por meio de um post técnico no blog .

Fim de jogo

Os ataques são potencialmente possíveis em dois cenários: 1) sites que não usam o WordPress diretamente, mas têm um endpoint do WordPress no mesmo domínio ou subdomínio e 2) um site hospedado no WordPress com um cabeçalho CSP.

O impacto potencial é grave, como explica a postagem do blog de Yibelo:

Se um invasor encontrar uma vulnerabilidade de injeção de HTML no domínio principal (ex: website1.com – não WordPress) usando essa vulnerabilidade, ele poderá usar um endpoint do WordPress para atualizar uma injeção de HTML inútil para um XSS completo que pode ser escalado para executar [ execução de código remoto ] RCE. Isso significa que ter o WordPress em qualquer lugar do site anula o propósito de ter um CSP seguro.

O Daily Swig convidou a equipe principal de desenvolvimento do WordPress para comentar sobre a pesquisa . Nenhuma palavra de volta, ainda, mas atualizaremos esta história à medida que ouvirmos mais.

Yibelo concluiu: “Espero que o Wordpress corrija isso para que o CSP permaneça relevante em sites que hospedam um endpoint WordPress”.

A Política de Segurança de Conteúdo é uma tecnologia definida por sites e usada por navegadores que podem bloquear recursos externos e impedir ataques XSS.

0 Comentários

Lei Felca e o Linux: O Código Aberto é Inimigo da Proteção Digital?

Com a chegada da Lei Felca (ECA Digital) em março de 2026, abriu-se um debate acalorado no Brasil: sistemas operacionais abertos, como o Linux, poderiam ser banidos ou restringidos por "facilitarem" o acesso de menores a conteúdos impróprios? Muitos argumentam que a liberdade do root é um risco. Como especialista e entusiasta da computação, eu digo o contrário: O Linux é, tecnicamente, o sistema mais preparado para garantir a conformidade legal sem sacrificar a privacidade. O Mito da "Falta de Controle" A crítica comum é que, por ser aberto, qualquer um pode burlar filtros. No entanto, no Linux, temos ferramentas que o Windows e o macOS sequer oferecem com a mesma granularidade: Módulos PAM (Pluggable Authentication Modules): Podemos criar travas de login no nível do sistema que exigem biometria ou tokens oficiais (como o Gov.br) antes mesmo da interface gráfica carregar. Kernel Namespaces: É possível isolar o navegador de um menor em uma "bolha" de rede (...