Mais uma vez, uma vulnerabilidade em um plugin multiplataforma é noticiada apenas nos círculos de WordPress, deixando os administradores de sites Joomla no escuro.
Desta vez, o alvo é o AcyMailing, uma solução de newsletter amplamente utilizada. O CVE-2026-3614 descreve uma falha de segurança de alta gravidade, mas a maioria dos relatórios públicos falhou ao não mencionar que o código compartilhado entre as versões WordPress e Joomla torna ambos igualmente vulneráveis.
O que a falha permite fazer?
Com um CVSS de 8.8, esta falha permite que um atacante com uma conta de baixo nível (como um simples assinante ou usuário registrado) assuma o controle total do site. O processo envolve:
1. Bypass de Autorização
O atacante ignora verificações de segurança ao chamar métodos do controlador AJAX que deveriam ser restritos a administradores.
2. Invasão de Conta
Através da criação de um assinante malicioso, o atacante vincula sua conta a um ID de administrador real e utiliza o recurso de "autologin" para entrar como super usuário.
Por que o Joomla foi "esquecido" nos alertas?
A resposta é simples: infraestrutura. O ecossistema WordPress possui grandes empresas de segurança (como Wordfence e Patchstack) que monitoram atualizações constantemente. No Joomla, o monitoramento é voluntário e menos centralizado. Nossa análise comparativa provou que o erro está no arquivo back/Core/AcymController.php, que é comum a ambas as plataformas.
Como Proteger seus Sites
Se você gerencia múltiplos sites, verificar um por um é um processo lento e arriscado. O tempo que você leva para checar manualmente é o tempo que um invasor precisa para explorar a falha.
Verificação Manual:
- No Joomla: Vá em Componentes → AcyMailing → Configuração. A versão está no rodapé.
- No WordPress: Vá em Plugins → Plugins Instalados e verifique a linha do AcyMailing.
Qualquer versão entre 9.11.0 e 10.8.1 precisa ser atualizada para a 10.8.2 imediatamente.
Detalhes Técnicos: A "Porta Aberta"
O erro residia em uma lógica simples de bypass de autorização. O sistema permitia qualquer comando que contivesse a string "Ajax" no nome da tarefa, sem verificar se o usuário tinha permissão para tal.
// Versão Vulnerável: if (!strpos($task, 'Ajax') === false && !acym_isAllowed($this->name)) { // Se tiver "Ajax" no nome, ele pula a verificação de segurança! }
Na versão 10.8.2, essa lacuna foi fechada e todas as tarefas agora passam obrigatoriamente pela função acym_isAllowed().
Sinais de Invasão (O que checar?)
Se você está atualizando hoje, é possível que alguém já tenha tentado explorar o site. Verifique:
- Novos administradores que você não criou.
- O recurso de "Autologin" ativado sem sua autorização.
- Logs de acesso com URLs referenciando rotas de autologin do AcyMailing.
Conclusão: Não dependa apenas de feeds de segurança de uma única plataforma. Plugins multiplataforma compartilham riscos. Mantenha seus sistemas centralizados e monitorados.