Falla crítica en el plugin elementor de WordPress puede afectar a cientos de miles de sitios web

Falla crítica en el plugin elementor de WordPress puede afectar a cientos de miles de sitios web

Los autores del plugin Elementor Website Builder para WordPress acaban de lanzar hace unos pocos días la versión 3.6.3 para abordar una falla crítica de ejecución remota de código que puede afectar hasta 500,000 sitios web como mínimo según los reportes iniciales.

Aunque explotar la falla requiere autenticación, su gravedad crítica está dada por el hecho de que cualquier persona que haya iniciado sesión en el sitio web vulnerable puede explotarla, incluidos los suscriptores regulares.

Un actor de amenazas que crea una cuenta de usuario normal en un sitio web afectado podría cambiar el nombre y el tema del sitio afectado para que se vea completamente diferente.

Los investigadores de seguridad creen que un usuario que no haya iniciado sesión también podría explotar la falla recientemente corregida en el complemento Elementor, pero no han confirmado este escenario.

Detalles de la vulnerabilidad

En un informe publicado esta semana por investigadores del servicio de seguridad de WordPress Plugin Vulnerabilities, que encontraron la vulnerabilidad, describen los detalles técnicos detrás del problema en Elementor.

El problema radica en la ausencia de una verificación de acceso crucial en uno de los archivos del complemento, «module.php», que se carga en cada solicitud durante la acción admin_init, incluso para los usuarios que no han iniciado sesión, explican los investigadores.

«La vulnerabilidad RCE que encontramos involucra la función upload_and_install_pro() accesible a través de la función anterior. Esa función instalará un plugin de WordPress enviado con la solicitud»

Una de las funciones activadas por la acción admin_init permite la carga de archivos en forma de un complemento de WordPress. Un actor de amenazas podría colocar un archivo malicioso allí para lograr la ejecución remota de código.

La función de carga de archivos (Vulnerabilidades del complemento)
Activación del plugin malicioso inyectado (PV)

Los investigadores dicen que la única restricción vigente es el acceso a un nonce válido. Sin embargo, encontraron que el nonce relevante está presente en «el código fuente de las páginas de administración de WordPress que inicia ‘elementorCommonConfig’, que se incluye cuando se inicia sesión como usuario con el rol de suscriptor».

Impacto y fijación

Según Plugin Vulnerabilities, el problema se introdujo con Elementor 3.6.0, lanzado el 22 de marzo de 2022.

Las estadísticas de WordPress informan que aproximadamente el 30.7% de los usuarios de Elementor se han actualizado a la versión 3.6.x, lo que indica que el número máximo de sitios potencialmente afectados es de aproximadamente 1,500,000.

El plugin ha sido descargado un poco más de un millón de veces hoy. Suponiendo que todos ellos fueran para 3.6.3, todavía debe haber alrededor de 500,000 sitios web vulnerables por ahí.

La última versión incluye un commit que implementa una comprobación adicional en el acceso nonce, utilizando la función «current_user_can» de WordPress.

Comprometerse en Elementor para abordar la falla de seguridad (WordPress)

Si bien esto debería abordar la brecha de seguridad, los investigadores aún no han validado la solución, y el equipo de Elementor no ha publicado ningún detalle sobre el parche.

Plugin Vulnerabilities también ha publicado una prueba de concepto (PoC) para demostrar la explotabilidad, aumentando el riesgo de que los sitios web vulnerables se vean comprometidos.

Se recomienda a los administradores que apliquen la última actualización disponible para el complemento Elementor WordPress o eliminen el complemento de su sitio web por completo.

Entrada anterior Tendencias de alojamiento web para 2022
Entrada siguiente Cómo reconocer el phishing