No hay tontos de abril aquí; Recién en abril existen numerosas vulnerabilidades en el popular complemento de WordPress Elementor, utilizado por millones de sitios web en todo el mundo. Para empeorar las cosas, los actores de amenazas ahora están explotando esta vulnerabilidad para modificar la configuración, redirigir el tráfico a sitios web maliciosos, entre otras cosas.
Elementor es un creador de sitios web similar a Squarespace que va más allá de WordPress, lo que permite la personalización de un sitio web con solo arrastrar y soltar sin tener que saber nada de codificación o diseño. Sin embargo, en las versiones anteriores a la 3.11.7 con la edición premium de la herramienta, los propietarios de sitios que también usaban WooCommerce eran vulnerables a la adquisición total del sitio.
Esta vulnerabilidad se atribuye a un conjunto de características detalladas en una publicación de blog de Ninja Technologies Network, que explica que un sitio de Elementor con WooCommerce carga «elementor-pro/modules/woocommerce/module.php». Este componente registra una acción AJAX llamada «pro_woocommerce_update_page_option» que permitiría a un administrador o gerente de la tienda actualizar las opciones de WooCommerce dentro de la base de datos que contiene configuraciones y opciones. Sin embargo, la función llamada detrás de «pro_woocommerce_update_page_option» no tiene entrada de usuario o validación de permisos, lo que significa que cualquier usuario de cualquier nivel de permiso puede cambiar las opciones. Puede filtrar el nonce utilizado para verificar que la solicitud AJAX se originó en una persona privilegiada.
Aunque esta función tiene algunas protecciones que podrían evitar este ataque, es posible filtrar información confidencial para eludir estas protecciones con cualquier cuenta de usuario que haya iniciado sesión. Con esto en mente, un atacante podría crear una cuenta de administrador, redirigir el tráfico del sitio web a un sitio web malicioso o realizar otras actividades nefastas.
Afortunadamente, esta vulnerabilidad se corrigió el 22 de marzo, solo cuatro días después de que se descubriera y se informara a los autores. Sin embargo, Patchstack informa que varias direcciones IP están siendo explotadas activamente, los archivos se están cargando en sitios web vulnerables y las URL de los sitios web están cambiando a ubicaciones controladas por atacantes. Por lo tanto, aquellos que usan una versión premium de Elementor y WooCommerce deben actualizar sus sitios web a la versión 3.11.7 o superior de Elementor.
