Plugin de serviço do Google expõe 30 mil sites a vulnerabilidades e ataques maliciosos

Foi divulgada pela empresa de soluções de segurança RandomStorm vulnerabilidade relacionada a plugin que disponibiliza a blogs e sites o CAPTCHA, serviço de reconhecimento de acessos humanos (Teste de Turing) de adquirido pelo Google em setembro de 2009.

A vulnerabilidade Cross-Site Scripting (XSS) está presente no plugin WP-reCAPTCHA, utilizado em mais de 30 mil ocorrências de sites pesquisados pelo próprio sistema de buscas do Google.


O referido plugin, agora indisponível ante a divulgação da vulnerabilidade, poderia ser baixado nos links  http://www.google.com/recaptcha e http://wordpress.org/extend/plugins/wp-recaptcha .

A Prova de Conceito (POC) da vulnerabilidade é a seguinte:
http://localhost/comment-page-1/?rcommentid=(id number)&rerror=(XSS)

Pesquisando pela referência inurl:rcommentid= error= no Google, percebe-se que há mais de 30 mil ocorrências em sites do mundo inteiro.

fonte: http://wilfredoenrique.blogspot.com/2011/12/plugin-de-servico-do-google-expoe-30.html