Hackers exploram vulnerabilidade do plugin do WordPress Elementor

WordPress Elementor com Vulnerabilidade de injeção

Hackers estão explorando ativamente uma vulnerabilidade de segurança corrigida recentemente no plug-in do construtor de sites Elementor Pro para WordPress.

A falha, descrita como um caso de controle de acesso quebrado, afeta as versões 3.11.6 e anteriores. Foi resolvido pelos mantenedores do plug-in na versão 3.11.7 lançada em 22 de março.

“Aprimoramento da segurança do código nos componentes do WooCommerce”, disse a empresa com sede em Tel Aviv em suas notas de lançamento. Que o plug-in premium elementor seja usado em mais de 12 milhões de sites.

A exploração bem-sucedida da falha de alta gravidade permite que um invasor autenticado conclua a aquisição de um site WordPress com WooCommerce ativado.

“Isso possibilita que um usuário mal-intencionado ative a página de registro (se desabilitada) e defina a função de usuário padrão como administrador para que possa criar uma conta que tenha privilégios de administrador instantaneamente”, disse Patchstack em um alerta de 30 de março, 2023.

“Depois disso, é provável que eles redirecionem o site para outro domínio malicioso ou carreguem um plug-in malicioso ou backdoor para explorar ainda mais o site”.

Creditado por descobrir e relatar a vulnerabilidade em 18 de março de 2023, é o pesquisador de segurança Jerome Bruandet.

Patchstack observou ainda que a falha está sendo abusada atualmente por vários endereços IP com a intenção de fazer upload de arquivos PHP e ZIP arbitrários.

Recomenda-se que os usuários do plug-in Elementor Pro atualizem para 3.11.7 ou 3.12.0, que é a versão mais recente, o mais rápido possível para mitigar possíveis ameaças.

O comunicado ocorre mais de um ano após o plug-in Essential Addons for Elementor conter uma vulnerabilidade crítica que pode resultar na execução de código arbitrário em sites comprometidos.

Na semana passada, o WordPress emitiu atualizações automáticas para corrigir outro bug crítico no plug-in WooCommerce Payments que permitia que invasores não autenticados obtivessem acesso de administrador a sites vulneráveis.