Posts Recentes:

Vulnerabilidade do plug-in Elementor WordPress


Uma vulnerabilidade de alta gravidade foi descoberta no plug-in do construtor de sites Elementor que pode permitir que um invasor carregue arquivos no servidor do site e os execute. A vulnerabilidade está na funcionalidade do uploader de modelos.

Elementor upload irrestrito de arquivo com vulnerabilidade de tipo perigoso

O construtor de sites Elementor é um plugin WordPress popular com mais de 5 milhões de instalações. A popularidade é impulsionada por sua funcionalidade simples de arrastar e soltar para criar sites com aparência profissional.

A vulnerabilidade descoberta no Elementor é classificada como 8.8/10 e diz que faz com que os sites que usam o Elementor abram a execução remota de código, por meio da qual um invasor é capaz de controlar essencialmente o site afetado e executar vários comandos.

O tipo de vulnerabilidade é descrito como upload irrestrito de arquivo com tipo perigoso. Esse tipo de vulnerabilidade é uma exploração em que um invasor é capaz de fazer upload de arquivos maliciosos que, por sua vez, permitem ao invasor executar comandos no servidor do site afetado.

Esse tipo de problema é geralmente descrito desta maneira:

“O produto permite que o invasor carregue ou transfira arquivos de tipos perigosos que podem ser processados ​​automaticamente no ambiente do produto.”

Wordfence descreve esta vulnerabilidade específica:

“O plugin Elementor Website Builder… para WordPress é vulnerável à execução remota de código por meio de upload de arquivo em todas as versões até 3.18.0 inclusive por meio da funcionalidade de importação de modelo.

Isso possibilita que invasores autenticados, com acesso de nível de contribuidor e superior, carreguem arquivos e executem código no servidor.”

Wordfence também indica que não há patch para corrigir esse problema e recomenda a desinstalação do Elementor.

“Nenhum patch conhecido disponível. Revise os detalhes da vulnerabilidade detalhadamente e empregue mitigações com base na tolerância ao risco da sua organização. Talvez seja melhor desinstalar o software afetado e encontrar um substituto.”

Atualização da versão Elementor 3.18.1

Elementor lançou hoje uma atualização para a versão 3.18.1. Não está claro se este patch corrige a vulnerabilidade, pois o site Wordfence afirma atualmente que a vulnerabilidade não foi corrigida.

O changelog descreve esta atualização:

“Correção: aplicação aprimorada de segurança de código no mecanismo de upload de arquivos”

Esta é uma vulnerabilidade relatada recentemente e os fatos podem mudar. No entanto, o Wordfence alerta que os hackers já estão atacando os sites da Elementor porque sua versão paga já bloqueou onze tentativas de hacking no momento da publicação do anúncio.

Leia o comunicado do Wordfence:

Elementor <= 3.18.0 Autenticado (Contributor +) Upload de arquivo arbitrário para execução remota de código por meio de importação de modelo

Últimas

Mulheres na IA: Chinasa T. Okolo pesquisa o impacto da IA ​​no Sul Global

Para dar às mulheres acadêmicas e outras pessoas...

Passes de trânsito de Paris agora disponíveis no aplicativo Wallet do iPhone

Após vários atrasos, a Apple e a autoridade...

Assine

spot_img

Veja Também

spot_img

Mulheres na IA: Chinasa T. Okolo pesquisa o impacto da IA ​​no Sul Global

Para dar às mulheres acadêmicas e outras pessoas focadas em IA o merecido - e devido - tempo de destaque, o TechCrunch publicou...

ESA se prepara para a era pós-ISS, seleciona The Exploration Company, Thales Alenia para desenvolver espaçonaves de carga

A Agência Espacial Europeia selecionou duas empresas na quarta-feira para desenvolver projetos de uma espaçonave de carga que poderia estabelecer o primeiro acesso...

Grandes empresas de tecnologia estão investindo dinheiro em startups de IA, o que poderia ajudá-las a evitar preocupações antitruste

Mais uma semana e outra rodada de injeções e avaliações malucas de dinheiro emergiram do reino da IA.ProfundoLuma startup de tradução de...