WordPress: Vulnerabilidad crítica en Plugin “Essential Addons for Elementor”

El plugin Essential Addons for Elementor en su versión 5.0.4 y anteriores, presenta una vulnerabilidad que permite que un usuario agregue un archivo en forma local sin estar autenticado o autorizado.

Este ataque puede ser utilizado para incluir archivos en el filesystem del sitio web, lo cual  habilita la posibilidad de realizar un ataque de ejecución de código en forma remota (Remote Code Execution) si el archivo que se incluye contiene código malicioso PHP.

Utilizar listas blancas de archivos y evitar la ejecución de código en directorios, son algunas consideraciones que pueden ayudar a mitigar el problema e impedir que un atacante aproveche esta falla para realizar actividades maliciosas.

Puede consultar más detalles en los artículos citados en Referencias.

Versiones afectadas: 5.0.4 y anteriores

Recomendaciones

Se recomienda actualizar el plugin Essential Addons for Elementor. Puede obtener las últimas versiones desde el sitio de WordPress: https://bit.ly/3uiBiko o bien puede realizar la actualización directamente desde el dashboard de WP.

Referencias

https://wordpress.org/plugins/essential-addons-for-elementor-lite/

https://www.bleepingcomputer.com/news/security/600k-wordpress-sites-impacted-by-critical-plugin-rce-vulnerability/

https://patchstack.com/articles/critical-vulnerability-fixed-in-essential-addons-for-elementor-plugin/