Los actores de amenazas desconocidos están explotando activamente una vulnerabilidad parcheada recientemente en el complemento del creador de sitios web Elementor Pro para WordPress.
El error, descrito como un caso de control de acceso roto, afecta a las versiones 3.11.6 y anteriores. Fue corregido por los mantenedores del complemento en la versión 3.11.7 lanzada el 22 de marzo.
«Se mejoró la aplicación de la seguridad del código en los componentes de WooCommerce», dijo la compañía con sede en Tel Aviv en sus notas de lanzamiento. Se estima que el complemento premium se usa en más de 12 millones de sitios web.
La explotación exitosa de la falla crítica permitiría a un atacante autenticado realizar una toma de control de un sitio de WordPress habilitado para WooCommerce.
«Esto permite que un usuario malicioso active la página de registro (si está deshabilitada) y establezca el rol de usuario predeterminado en Administrador para que pueda crear una cuenta que tenga privilegios administrativos de inmediato», dijo Patchstack en una alerta del 30 de marzo. 2023
«Después de eso, es probable que redirijan la página a otro dominio malicioso o carguen un complemento malicioso o una puerta trasera para explotar aún más el sitio».
El descubrimiento y el informe de la vulnerabilidad el 18 de marzo de 2023 se atribuyen al investigador de seguridad de NinTechNet, Jerome Bruandet.
Patchstack señaló además que el error está siendo abusado actualmente por varias direcciones IP en la naturaleza con la intención de cargar archivos PHP y ZIP arbitrarios.
Se recomienda a los usuarios del complemento Elementor Pro que actualicen a 3.11.7 o 3.12.0, la última versión, lo antes posible para mitigar posibles amenazas.
SEMINARIO WEB THN
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de una respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 pasos con Asaf Perlman, líder de IR de Cynet!
¡No te lo pierdas, asegura tu lugar!
El aviso llega más de un año después de que se descubriera que el complemento Essential Addons for Elementor contenía una vulnerabilidad crítica que podría conducir a la ejecución de código arbitrario en sitios web comprometidos.
La semana pasada, WordPress lanzó actualizaciones automáticas para corregir otro error crítico en el complemento de pagos de WooCommerce que permitía a los atacantes no autenticados obtener acceso administrativo a sitios web vulnerables.
¿Te pareció interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
