Millones de sitios web en riesgo por vulnerabilidad en WordPress Elementor Pro.

Recientemente, se ha informado que los hackers están explotando una vulnerabilidad en el popular plugin de creación de páginas web WordPress Elementor Pro. La vulnerabilidad permite a los atacantes ejecutar código malicioso en sitios web que utilizan este plugin, lo que les otorga acceso no autorizado a la información confidencial del sitio y la capacidad de realizar actividades maliciosas.


La vulnerabilidad en cuestión es el resultado de una falta de validación adecuada en una función de carga de archivos en Elementor. Los atacantes pueden explotar esta vulnerabilidad cargando archivos maliciosos en un sitio web vulnerable y ejecutando código arbitrario. Esta vulnerabilidad se encuentra en la versión 3.0.0 a 3.1.3 del plugin de Elementor.


Los sitios web que utilizan Elementor y que no han actualizado a la última versión están en riesgo de ser comprometidos por esta vulnerabilidad. Los atacantes pueden utilizar esta vulnerabilidad para obtener acceso no autorizado a información confidencial del sitio web, incluyendo credenciales de inicio de sesión, datos de los usuarios y cualquier otra información almacenada en el sitio. Además, los atacantes también pueden utilizar el acceso no autorizado para realizar actividades maliciosas, como el desfiguramiento del sitio, la instalación de malware o el robo de datos.

Conclusión:

Esta vulnerabilidad en el plugin de Elementor es un recordatorio de la importancia de mantener los sistemas actualizados y seguros. Los propietarios de sitios web deben seguir buenas prácticas de seguridad cibernética, como la implementación de contraseñas seguras y la actualización regular de los sistemas y aplicaciones, para protegerse de las amenazas cibernéticas.

Recomendaciones:

Actualizar a la última versión del plugin lo antes posible. La última versión del plugin, la 3.1.4, aborda esta vulnerabilidad y corrige el problema de seguridad.

Los propietarios de sitios web también deben revisar sus sitios para asegurarse de que no se hayan comprometido antes de la actualización. Se recomienda realizar una copia de seguridad completa del sitio antes de realizar cualquier actualización o cambio en el sitio.

Referencias:

  • https://thehackernews.com/2023/04/hackers-exploiting-wordpress-elementor.html
  • https://www.islabit.com/182217/vulnerabilidad-critica-del-plugin-elementor-pro-de-wordpress-que-afecta-a-millones-de-sitios-web.html
  • https://www.bleepingcomputer.com/news/security/hackers-exploit-bug-in-elementor-pro-wordpress-plugin-with-11m-installs/
  • https://patchstack.com/articles/critical-elementor-pro-vulnerability-exploited/