Recientemente se ha descubierto una nueva y peligrosa vulnerabilidad en un complemento popular de WordPress. Los investigadores de ciberseguridad de Wordfence descubrieron una falla en el complemento de Elementor que permitía a cualquier usuario autenticado cargar código PHP arbitrario.

Elementor es uno de los complementos más populares para WordPress, instalado en más de cinco millones de sitios web.

El complemento se actualizó recientemente a la versión 3.6.0, que introdujo, entre otras cosas, un nuevo módulo de integración, cuyo objetivo era simplificar la configuración inicial del complemento. Sin embargo, los investigadores descubrieron que el módulo usaba un método «inusual» para registrar acciones AJAX, sin una verificación de capacidad.

Ejecución de código malicioso

«Hay varias formas para que un usuario autenticado obtenga Ajax::NONCE_KEY, pero una de las formas más fáciles es ver la fuente del panel de administración como el usuario que inició sesión, ya que está ahí para todos los usuarios autenticados, incluso para los usuarios de nivel de suscripción, ”, explican los investigadores.

Por lo tanto, cualquier usuario que haya iniciado sesión puede utilizar cualquiera de las funciones de integración. Dicho esto, un atacante podría, por ejemplo, crear un complemento zip malicioso «Elementor Pro» y utilizar las funciones de integración para instalarlo. Luego, el sitio ejecutaría cualquier código presente en el complemento, incluido el código diseñado para admitir el sitio, o acceder a recursos adicionales en el servidor.

Las funciones también podrían usarse para desfigurar completamente el sitio, agregó.

La buena noticia es que la falla no está presente en ninguna versión de Elementor anterior a la 3.6.0 y la solución para la falla ya está disponible.

El 12 de abril, el equipo lanzó la versión 3.6.3. versión del complemento, Wordfence insta a todos los usuarios de Elementor a actualizar sus complementos lo antes posible.

Al ser uno de los complementos más populares para WordPress, Elementor a menudo es el objetivo de los cazadores de errores y los actores de amenazas.

A principios de febrero, el investigador de seguridad cibernética Wai Yan Muo Thet descubrió una vulnerabilidad en el complemento Complementos esenciales para Elementor: una falla crítica de ejecución remota de código (RCE) que permitía a posibles actores maliciosos realizar un ataque incrustado en archivos locales.

Share This