0
0
Vulnerabilidade foi introduzida na versão 3.6.0 do plugin, o que deixa cerca de 5 milhões de usuários expostos a execução remota de código
O desenvolvedor do Elementor, popular plugin para o WordPress, atualizou o produto para corrigir uma vulnerabilidade crítica que pode ser explorada para alterar a aparência de websites. O Elementor é a plataforma líder de criação de sites para WordPress, permitindo que mais de 5 milhões de usuários criem sites para si ou para seus negócios sem a necessidade de escrever nenhum código.
Na semana passada, pesquisadores da empresa de segurança Plugin Vulnerabilities descobriram atividades suspeitas relacionadas ao plugin. “Não encontramos nenhuma vulnerabilidade divulgada recentemente que explique isso, então começamos a fazer nossas verificações padrão que fazemos em uma situação em que um hacker pode estar explorando uma vulnerabilidade não corrigida em um plug-in”, explicou a empresa em comunicado.
O que a empresa diz ter descoberto foi que o plugin não está lidando corretamente com a segurança básica, pois foram encontradas muitas funcionalidades cujas verificações de recursos estavam faltando. “Embora alguns deles não sejam acessíveis a usuários que não deveriam ter acesso, encontramos pelo menos um que é e a funcionalidade acessível leva a um dos tipos mais sérios de vulnerabilidades, a execução remota de código (RCE)”, disse a Plugin Vulnerabilities.
O bug foi introduzido na versão 3.6.0 do plugin, lançada em 22 de março, o que significa que cerca de 1,5 milhão de usuários foram impactados. A vulnerabilidade pode ser explorada por invasores autenticados com acesso ao painel de administração do WordPress, mas é possível que também possa ser usada por operadores de ameaças não logados, alertou o Plugin Vulnerabilities.
Segundo a empresa de segurança, a bug parece permitir que os invasores alterem completamente a aparência de um site direcionado, alterando elementos, incluindo nome, logotipo, imagens e tema.
Felizmente, a Elementor lançou agora a versão 3.6.3 para corrigir o problema, que os usuários devem baixar. Vulnerabilidades de plugin publicou uma prova de conceito, tornando a correção mais urgente.
FONTE: CISO ADVISOR