Se ha identificado una vulnerabilidad del tipo Remote Code Execution (RCE) en el complemento JetElements para Elementor. Se estima que esta vulnerabilidad puede afectar a alrededor de 300.000 instalaciones activas del complemento.
Elementor es un plugin gratuito para WordPress que facilita la creación de páginas web con todo tipo de diseños a través de un editor visual con una variedad de widgets y elementos, ideal para todo tipo de usuario.
El complemento JetElements, creado por Crocoblock (extensión de Elementor), es un complemento premium con alta popularidad entre los clientes, que ofrece más de 40 widgets para el diseño y la gestión dinámica del contenido en sitios webs.
La vulnerabilidad, con el identificador CVE-2023-39157, se encuentra en el «render_metafuncion», lo que permite a usuarios con el rol de «colaborador» ejecutar funciones PHP arbitrarias y lograr la ejecución del código malicioso. Debido a la gravedad de esta vulnerabilidad, se le asignó un puntaje de CVSS de 9.0, lo que indica un riesgo de nivel ALTO para la seguridad del sistema.
Productos Afectados:
- WordPress JetElements For Elementor Plugin: 2.6.10 y anteriores.
Solución:
- WordPress JetElements For Elementor Plugin: 2.6.11.
Recomendación:
- Mantenga todos los complementos y software actualizados.
- Utilice un complemento de seguridad para escanear su sitio web en busca de vulnerabilidades.
- Implemente contraseñas seguras y autenticación de dos factores.
- Realice copias de seguridad de su sitio web con regularidad.
Referencias:
- https://patchstack.com/database/vulnerability/jet-elements/wordpress-jetelements-for-elementor-plugin-2-6-10-authenticated-remote-code-execution-rce-vulnerability
- https://rankerstudio.com/crocoblock-review/#:~:text=Crocoblock%20es%20un%20addon%20de,incluye%20varios%20complementos%20para%20WordPress.
- https://securityonline.info/cve-2023-39157-rce-in-jetelements-for-elementor-plugin-affects-300000-websites/#google_vignette
- https://patchstack.com/articles/authenticated-rce-in-jetelements-for-elementor-plugin/