¿Utiliza el plugin Essential Addons for Elementor WordPress? Es hora de actualizar el plugin ya que ha experimentado vulnerabilidades que podrían permitir a atacantes maliciosos ejecutar código arbitrario en su sitio web.
WPScan, un sitio de seguridad, fue el primero en descubrir y reportar esta vulnerabilidad en el plugin Essential Addons for Elementor. Según el sitio de seguridad:
“El plugin no valida y sanea algunos datos de las plantillas antes de incluirlos en las sentencias include, lo que podría permitir a atacantes no autentificados realizar un ataque de inclusión de archivos locales y leer archivos arbitrarios en el servidor, esto también podría llevar a un RCE a través de archivos subidos por el usuario u otras técnicas de LFI a RCE.”
La vulnerabilidad se anunció entonces en la base de datos nacional de vulnerabilidad de Estados Unidos el 1 de febrero.
Según el sitio, las vulnerabilidades en el plugin han hecho posible que los atacantes lancen un ataque de intrusión de archivos locales que permite a un atacante hacer que una instalación de WordPress revele información sensible y lea archivos arbitrarios. A partir de ahí, podría llevar a ataques más serios, como ataques que podrían ejecutar código arbitrario en un sitio de WordPress y causar mucho daño, lo que incluye una toma de posesión completa del sitio.
Según WPScan, que fue el primero en informar de la vulnerabilidad, los problemas se solucionaron en la versión 5.0.5 del plugin. Sin embargo, el registro de cambios del plugin para la versión Lite del plugin afirma que la versión 5.0.6 está corrigiendo un saneamiento de datos adicional hoy (2 de febrero de 2022)
Para proteger su sitio, es mejor actualizar al menos a la versión 5.0.6 del plugin.
El informe de vulnerabilidad de WPScan puede leerse aquí