Los autores del plugin Elementor Website Builder para WordPress acaban de lanzar la versión 3.6.3 para solucionar un fallo crítico de ejecución remota de código que puede afectar a unos 500.000 sitios web.
Aunque la explotación del fallo requiere autenticación, su gravedad crítica viene dada por el hecho de que cualquier persona que inicie sesión en el sitio web vulnerable puede explotarlo, incluidos los suscriptores habituales.
Un actor de la amenaza que cree una cuenta de usuario normal en un sitio web afectado, podría cambiar el nombre y el tema del sitio afectado haciéndolo parecer totalmente diferente.
Los investigadores de seguridad creen que un usuario no registrado también podría explotar el fallo recientemente corregido en el plugin de Elementor, pero no han confirmado este escenario.
En un informe publicado en esta semana por los investigadores del servicio de seguridad de WordPress Plugin Vulnerabilities, que han encontrado la vulnerabilidad, describen los detalles técnicos del problema en Elementor.
El problema radica en la ausencia de una comprobación de acceso crucial en uno de los archivos del plugin, “module.php”, que se carga en cada petición durante la acción admin_init, incluso para los usuarios que no han iniciado sesión, explican los investigadores.
Una de las funciones activadas por la acción admin_init permite la carga de archivos en forma de plugin de WordPress. Un actor de la amenaza podría colocar allí un archivo malicioso para lograr la ejecución remota de código.
Según Plugin Vulnerabilities, el problema se introdujo con Elementor 3.6.0, publicado el 22 de marzo de 2022.
Las estadísticas de WordPress informan que aproximadamente el 30,7% de los usuarios de Elementor han actualizado a la versión 3.6.x, lo que indica que el número máximo de sitios potencialmente afectados es de aproximadamente 1.500.000.
Se aconseja a los administradores que apliquen la última actualización disponible para el plugin de WordPress Elementor o que eliminen el plugin de su sitio web por completo.