Corrigida recentemente na última atualização, uma falha RCE no plugin Elementor pode afetar 500 mil sites WordPress.
O plugin Elementor é uma plataforma de criação de sites para WordPress que permite criar sites profissionais e perfeitos em pixels com um construtor visual intuitivo.
Com ele o usuário cria rapidamente sites incríveis para seus clientes ou sua empresa com controle total sobre cada peça, sem escrever uma única linha de código.
E, agora, os autores do plugin Elementor Website Builder para WordPress acabaram de lançar a versão 3.6.3 para resolver uma falha crítica de execução remota de código que pode afetar até 500.000 sites.
Falha RCE no plugin Elementor pode afetar 500 mil sites WordPress
Embora a exploração da falha exija autenticação, sua gravidade crítica é dada pelo fato de que qualquer pessoa conectada ao site vulnerável pode explorá-la, incluindo assinantes regulares.
Um agente de ameaças que cria uma conta de usuário normal em um site afetado pode alterar o nome e o tema do site afetado, tornando-o totalmente diferente.
Os pesquisadores de segurança acreditam que um usuário não logado também pode explorar a falha corrigida recentemente no plug-in Elementor, mas não confirmaram esse cenário.
Em um relatório divulgado esta semana por pesquisadores do serviço de segurança WordPress Plugin Vulnerabilities, que encontraram a vulnerabilidade, descrevem os detalhes técnicos por trás do problema no Elementor.
O problema está na ausência de uma verificação de acesso crucial em um dos arquivos do plugin, “module.php”, que é carregado em todas as solicitações durante a ação admin_init, mesmo para usuários que não estão logados, explicam os pesquisadores.
Segundo a Plugin Vulnerabilities
“A vulnerabilidade RCE que encontramos envolve a função upload_and_install_pro() acessível através da função anterior. Essa função instalará um plugin WordPress enviado com a solicitação”
Uma das funções acionadas pela ação admin_init permite o upload de arquivos na forma de um plugin WordPress. Um agente de ameaça pode colocar um arquivo malicioso lá para obter a execução remota de código.
Os pesquisadores dizem que a única restrição em vigor é o acesso a um nonce válido. No entanto, eles descobriram que o nonce relevante está presente no “código-fonte das páginas de administração do WordPress que inicia ‘elementorCommonConfig’, que é incluído quando conectado como usuário com a função de assinante”.
De acordo com o Plugin Vulnerabilities, o problema foi introduzido com o Elementor 3.6.0, lançado em 22 de março de 2022.
As estatísticas do WordPress relatam que aproximadamente 30,7% dos usuários do Elementor atualizaram para a versão 3.6.x, o que indica que o número máximo de sites potencialmente afetados é de aproximadamente 1.500.000.
O plugin foi baixado um pouco mais de um milhão de vezes hoje. Supondo que todos eles fossem para o 3.6.3, ainda deve haver cerca de 500.000 sites vulneráveis por aí.
A versão mais recente inclui um commit que implementa uma verificação adicional no acesso nonce, usando a função “current_user_can” do WordPress.
Embora isso deva resolver a lacuna de segurança, os pesquisadores ainda não validaram a correção e a equipe da Elementor não publicou nenhum detalhe sobre o patch.
A Plugin Vulnerabilities também publicou uma prova de conceito (proof of concept, ou PoC) para provar a capacidade de exploração, aumentando o risco de sites vulneráveis serem comprometidos.
Enfim, os administradores são aconselhados a aplicar a atualização mais recente disponível para o plug-in Elementor WordPress ou remover completamente o plug-in do seu site.