Casa > Segurança na web > Critical Zero-Day in Elementor Pro Plugin Puts 1M WordPress Sites at Risk - PT

Dia zero crítico no plugin Elementor Pro coloca em risco 1 milhão de sites WordPress - PT

Pesquisadores do Wordfence relataram recentemente exploração ativa de falhas de segurança em dois plugins do WordPress relacionados - Elementor Pro e Ultimate Addons for Elementor. Por causa dessas vulnerabilidades, mais que 1 milhões de sites estão em risco. É importante notar que o plugin Elementor gratuito, instalado em mais de 4 milhões de sites, não é impactado por essa falha. O plug-in gratuito está disponível como um download separado do repositório de plug-ins do WordPress. A versão pro pode ser baixada no site da Elementor.com.

Vulnerabilidade de dia zero no plug-in Elementor Pro

O plugin Elementor Pro, um plug-in do construtor de páginas, possui uma vulnerabilidade crítica de dia zero que, de acordo com o Wordfence, é explorável quando os usuários têm registro aberto. A vulnerabilidade foi descrita como um "Upload de arquivo arbitrário autenticado" questão.

A boa notícia é que a Elementor já lançou uma próxima versão do plug-in em que a vulnerabilidade é tratada - versão Elementor Pro 2.9.4. A equipe do Wordfence confirmou que a nova versão corrige o problema, e os usuários devem atualizar o mais rápido possível.

Quais são os cenários de exploração desta vulnerabilidade? O problema permite registrar (malicioso) usuários carregar arquivos arbitrários que podem levar a ataques de execução remota de código. Depois que a execução remota de código é realizada, o atacante pode:

  • Instale um backdoor no site comprometido ou no webshell para manter o acesso;
  • Obtenha direitos de administrador completos para o WordPress;
  • Excluir o site comprometido.

Complementos finais para a vulnerabilidade de Elementor

Este plugin foi desenvolvido pela Brainstorm Force. Há uma vulnerabilidade de desvio de registro neste plug-in que permite que o problema do Elementor Pro seja explorado, mesmo quando o site não tem registro de usuário ativado.

O plug-in Elementor Pro foi instalado em mais de 1 milhões de sites, Considerando que Ultimate Addons tem 110,000 instalações. Isso torna o número de sites afetados bastante excessivo. Usuários do plugin Ultimate Addons for Elementor devem estar executando a versão 1.24.2 ou superior para evitar ataques.

As duas vulnerabilidades estão sendo exploradas juntas, Wordfence diz:

Nos casos em que um site não tem o registro de usuário ativado, Os invasores estão usando a vulnerabilidade Ultimate Addons for Elementor em sites sem patch para se registrar como assinante. Em seguida, eles continuam usando as contas recém-registradas para explorar a vulnerabilidade de zero dia do Elementor Pro e obter execução remota de código.

Usuários impactados devem atualizar para as versões mais recentes dos plugins para evitar exploração.

Leia também Quase 1M WordPress Sites Under Attack devido a plugins vulneráveis

Deixe um comentário

seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *

Este site é protegido pelo reCAPTCHA e pelo Google Política de Privacidade e Termos de serviço Aplique.