Error de Zero-Day encontrado en Addons Plus para WordPress Plugin Elementor

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¡Atención, administradores de WordPress!

Existía un error crítico de día cero en el Addons Plus  para el  plugin Elementor. Dado que los desarrolladores lanzaron la solución, asegúrese de actualizar sus sitios web lo antes posible con la versión 4.1.7 del complemento.

Wordfence, el equipo de seguridad que realiza un seguimiento de los complementos vulnerables de WordPress, ha encontrado una vulnerabilidad grave en otro complemento.

Esta vez, han informado de una vulnerabilidad crítica de día cero que afecta al complemento de WordPress Plus Addons para Elementor.
Como se detalla en su publicación, los investigadores encontraron una vulnerabilidad de escalada de privilegios en la función del complemento que permitía agregar un widget para el inicio de sesión y el registro del usuario en Elementor.

Debido a esto, el error permitió a un adversario crear cuentas de administrador en los sitios web de destino.

Si bien Wordfence prefirió no revelar más detalles del error debido a su explotación activa, aún así explicaron:

"Desafortunadamente, esta funcionalidad se configuró incorrectamente y permitió a los atacantes registrarse como un usuario administrativo o iniciar sesión como un usuario administrativo existente. Cabe señalar que esta vulnerabilidad aún puede explotarse incluso si no tiene una página de inicio de sesión o registro activa que se creó con el complemento.
Esto significa que cualquier sitio que ejecute este complemento es vulnerable a compromisos. La vulnerabilidad recibió el CVE ID CVE-2021-24175 y una puntuación CVSS de 9,8."

Lanzamiento del parche

Tras descubrir el error recientemente, Wordfence se puso en contacto con los desarrolladores de complementos. En respuesta, el equipo de desarrollo comenzó a trabajar en una solución que primero implementaron parcialmente con la versión 4.1.6, seguida de un parche completo implementado con la versión 4.1.7 del complemento.

El complemento Plus Addons para Elementor actualmente cuenta con más de 30,000 instalaciones. Significa que la vulnerabilidad amenaza potencialmente la seguridad de miles de sitios web en todo el mundo.

Por lo tanto, todos los administradores de sitios que utilicen este complemento deben asegurarse de actualizar sus sitios web con la última versión del complemento lo antes posible. En particular, esta vulnerabilidad solo afectó a la versión premium del complemento. Su versión gratuita, The Plus Addons para Elementor Page Builder Lite, no se vio afectada por este error.

Fuente:
Latest hacking news
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta