WordPress Elementor com Vulnerabilidade de injeção
Hackers estão explorando ativamente uma vulnerabilidade de segurança corrigida recentemente no plug-in do construtor de sites Elementor Pro para WordPress.
A falha, descrita como um caso de controle de acesso quebrado, afeta as versões 3.11.6 e anteriores. Foi resolvido pelos mantenedores do plug-in na versão 3.11.7 lançada em 22 de março.
“Aprimoramento da segurança do código nos componentes do WooCommerce”, disse a empresa com sede em Tel Aviv em suas notas de lançamento. Que o plug-in premium elementor seja usado em mais de 12 milhões de sites.
A exploração bem-sucedida da falha de alta gravidade permite que um invasor autenticado conclua a aquisição de um site WordPress com WooCommerce ativado.
“Isso possibilita que um usuário mal-intencionado ative a página de registro (se desabilitada) e defina a função de usuário padrão como administrador para que possa criar uma conta que tenha privilégios de administrador instantaneamente”, disse Patchstack em um alerta de 30 de março, 2023.
“Depois disso, é provável que eles redirecionem o site para outro domínio malicioso ou carreguem um plug-in malicioso ou backdoor para explorar ainda mais o site”.
Creditado por descobrir e relatar a vulnerabilidade em 18 de março de 2023, é o pesquisador de segurança Jerome Bruandet.
Patchstack observou ainda que a falha está sendo abusada atualmente por vários endereços IP com a intenção de fazer upload de arquivos PHP e ZIP arbitrários.
Recomenda-se que os usuários do plug-in Elementor Pro atualizem para 3.11.7 ou 3.12.0, que é a versão mais recente, o mais rápido possível para mitigar possíveis ameaças.
O comunicado ocorre mais de um ano após o plug-in Essential Addons for Elementor conter uma vulnerabilidade crítica que pode resultar na execução de código arbitrário em sites comprometidos.
Na semana passada, o WordPress emitiu atualizações automáticas para corrigir outro bug crítico no plug-in WooCommerce Payments que permitia que invasores não autenticados obtivessem acesso de administrador a sites vulneráveis.
8 thoughts on “Hackers exploram vulnerabilidade do plugin do WordPress Elementor”
Comments are closed.