Se ha revelado un nuevo hallazgo que afecta a los administradores de sitios de WordPress. Acorde a los especialistas del curso de pentest de WordFence, el plugin Elementor Pro contiene una vulnerabilidad crítica día cero. Aunque el parche para corregir esta falla acaba de ser lanzado, es importante esparcir la voz al respecto, pues las versiones sin actualizar están siendo explotadas de forma activa.
Elementor Pro es la versión Premium del popular plugin generador de páginas del sistema de gestión de contenido (CMS). Cabe mencionar que la vulnerabilidad no está presente en la versión gratuita de Elementor. Acorde al equipo encargado del hallazgo, la falla es considerada como crítica.
Al parecer, todo lo que requieren los actores de amenazas para explotar esta vulnerabilidad es registrarse en el sitio web objetivo, mencionan los expertos del curso de pentest. Si los administradores ejecutan un sitio web de WordPress con Elementor Pro y permiten que los visitantes del sitio se registren para publicar comentarios, el sitio podría estar expuesto.
No obstante, el reporte asegura que los sitios web podrían verse expuestos incluso si no cuentan con usuarios registrados. Esto es así debido a la existencia de otro plugin vulnerable; la herramienta Ultimate Addons para Elementor Pro, contiene una vulnerabilidad que permitiría a un actor de amenazas registrarse como suscriptor del sitio web, incluso si esta función no está habilitada. En otras palabras, la falla en Ultimate Addons permite a los actores de amenazas hackear Elementor Pro.
En su reporte, los expertos del curso de pentest indican: “Debido a que la vulnerabilidad no se ha corregido en este momento, estamos excluyendo cualquier información adicional. Tenemos datos que indican que el equipo de Elementor está trabajando en un parche”.
Respecto a la falla en Ultimate Addons, la vulnerabilidad permite que un hacker se aproveche de la vulnerabilidad de Elementor Pro si el registro de usuario está desactivado. En este momento ya hay un parche recientemente lanzado disponible para corregir la vulnerabilidad de Elementor Pro. Se recomienda actualizar Elementor Pro a la versión 2.9.4 para estar protegido. También hay un parche para arreglar los complementos definitivos para el plugin Elementor.
Al actualizar el complemento Ultimate Addons, en teoría puede impedir que un hacker explote un sitio Elementor Pro, siempre y cuando los registros de usuarios estén prohibidos.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
