Los hackers están explotando activamente dos vulnerabilidades en el complemento Elementor Pro para WordPress con el objetivo final de ejecutar de forma remota código arbitrario y comprometer completamente los objetivos sin parchear.
Los atacantes pueden borrar sitios después de una explotación exitosa.
Elementor Pro es un complemento pago con un número estimado de más de 1 millón de instalaciones activas que ayuda a los usuarios a crear fácilmente sitios web de WordPress desde cero con la ayuda de un generador de temas incorporado, un diseñador de widgets de formas visuales y soporte personalizado de CSS.
Un atacante capaz de ejecutar código de forma remota en su sitio puede instalar una puerta trasera o un shell web para mantener el acceso, obtener acceso administrativo completo a WordPress o incluso eliminar su sitio por completo. Debido a que la vulnerabilidad no se ha corregido en este momento.
Los atacantes que explotan con éxito esta falla de seguridad pueden instalar backdoors o webshells para mantener el acceso a los sitios comprometidos, obtener acceso de administrador para comprometerlo por completo, o incluso borrar todo el sitio.
Si no pueden registrarse como usuarios, pueden explotar la segunda vulnerabilidad que afecta a los con el plugin Elementor en WordPress (instalado en más de 110,000 sitios) que les permitirá registrarse como usuarios de nivel de suscriptor en cualquier sitio que ejecute el complemento, incluso si el registro de usuario está deshabilitado.
Se recomienda:
Actualizar Elementor Pro a la versión 2.9.4 que corrige la vulnerabilidad de ejecución remota de código.
Para mayor información:
- https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-lets-hackers-take-over-1m-sites/
- https://uaelementor.com/docs/update-ultimate-addons-for-elementor-plugin/
- https://wpvulndb.com/vulnerabilities/10214