Una vulnerabilidad presente en un plugin de WordPress ha puesto en riesgo millones de sitios web creados con esta plataforma, ya que permite a un actor malicioso acceder como administrador y tomar el control del sitio con todos los privilegios.
Según ha explicado Facua, Elementor Pro es un plugin para WordPress que permite a los usuarios crear páginas web de apariencia profesional de forma sencilla, sin que sea necesario que sepan programar. Está instalado en más de once millones de páginas.
Los investigadores de NinTechNet, una empresa que ha diseñado una aplicación web firewall para WordPress, ha identificado una vulnerabilidad en Elementor Pro, que han calificado de gravedad alta, como recogen en su blog oficial.
Esta error se encuentra en la versión premium del plugin y su explotación requiere tener WooCommerce habilitado en el sitio web, de tal forma que da acceso a la página de registro, donde un actor malicioso podría crear una cuenta con privilegios de administrador.
Jerome Bruandet, de NinTechNet, descubrió la vulnerabilidad el 18 de marzo, en la versión 3.11.6 (y anteriores) de Elementor Pro. Los investigadores de Patchstack han confirmado que la vulnerabilidad se ha explotado de forma activa, y por ello es recomendable instalar cuando antes la corrección que ya ha preparado Elementor (3.11.7), disponible desde el 22 de marzo.